特集

ISO/IEC29100の概要

▼プライバシーに関するISO規格
プライバシーに関する規格といえば、日本ではプライバシーマークの準拠規格であるJIS Q 15001が有名です。では、プライバシーに関するISO規格をご存知でしょうか?

今回はプライバシー保護に関する国際規格であるISO/IEC29100について、簡単にご紹介します。

ISO/IEC29100は、国際標準化機構(ISO)が2011年に発行したプライバシーフレームワークを規定する規格で、プライバシー保護のためのOECD8原則やEU指令をベースにして開発されました。ISO/IEC29100では、プライバシーに関する共通的な用語の特定、PII(personally identifiable information:個人識別可能情報)の処理に関する関係者及びその役割の定義等が示されています。

 

▼ISO/IEC29100の原則
ISO/IEC29100には以下の「プライバシー原則」が定められています。

  1. 同意と選択
  2. 目的の正当性と規定
  3. 収集の制限
  4. データ最小化
  5. 利用、保持、開示の制限
  6. 正確性と品質
  7. オープンさ、透明性、通知
  8. 個人の参加とアクセス
  9. 説明責任
  10. 情報セキュリティ
  11. プライバシー法令遵守

参考:総務省
http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h25/html/nc131120.html

 

▼プライバシーを扱う情報システム設計の指針
プライバシー情報の取り扱いは、情報システムを用いて行われることが一般的です。ISO/IEC29100シリーズのISO/IEC29101では、情報システムを設計するための指針となるアーキテクチャフレームワークが示されています。

プライバシー設定層 ポリシーと目的の伝搬、同意管理等
アクセス管理層 アクセス者リスト管理、アクセス制限、認証等
PII管理層 暗号化、匿名化、搬送方法、開示方法、監査ログ取得等

プライバシーを扱う情報システムの設計にあたっては、プライバシー影響評価を行い、リスクへの対処を織り込んだ上で、上記のフレームワークに沿う必要があります。

 

▼ISO/IEC27018との関連性
ISO/IEC29100は、クラウドサービスにおける情報セキュリティ規格であるISO/IEC27018とも関連性があります。ISO/IEC27018では、ISO/IEC29100に基づく「パブリッククラウドコンピューティング環境における個人情報(PII)保護のための管理目的および管理策」が附属書Aに規定されています。

ISO/IEC29100は、プライバシーに関するステークホルダーを本人、情報責任者、情報処理者、第三者に分けて定式化しています。ISO/IEC27018はISO/IEC29100のステークホルダーに関する規定に従って、以下の三者を定義しています。

  • 本人(個人情報の主体)
  • 情報責任者(本人から個人情報を取得し、明示した利用目的の範囲で個人情報を利用する個人情報取扱事業者)
  • 情報処理者(クラウド環境を利用したサービスを提供するサービスプロバイダー)

なお、情報責任者から本人の情報を提供された第三者は、当該データの受け取りと同時に情報責任者となります。ISO/IEC27018の準拠を目指す事業者は、ISO/IEC29100についても理解しておくとよいでしょう。