データ保護と情報セキュリティ - ISO 27001 と ISO 27701

コンテンツ

• データ保護と情報セキュリティ
• そもそもマネジメントシステムって何？
• マネジメントシステムの設計図としての「ハイレベルストラクチャー
• GDPRを管理体制に組み込む
• データ保護マネジメントの5つのメリット
• データ保護と情報セキュリティ - おわりに
• DQSです。品質をシンプルに活用する。

データ保護と情報セキュリティ

情報セキュリティの文脈でも、データ保護は一度だけ着手して走り抜け、完了するようなプロジェクトではありません。まさにその逆である。運用上のデータ保護とは、組織において恒久的に利用可能であり、実行可能でなければならない、あるいはトリガーによって発動可能でなければならない数多くのデータ保護プロセスのことである。この重要な例として、「データ対象者の権利の確保」と「データ保護インシデントへの対応」の2つのデータ保護プロセスがあります。

データ保護の世界では、データ保護管理システム（DSMS）の利用が、組織のデータ保護問題を解決するための大きなポイントとして捉えられています。なぜそうなのでしょうか。その答えは比較的簡単です。

2018年5月25日以降、欧州一般データ保護規則（GDPR）は、DSMSのルールを簡単に示しています。何が 許され、何が禁止されるかについて、厳格な法的要件を策定しています（Business Rules）。ドイツのDS-GVO（ドイツデータ保護基本法）の罰則は、ここから派生しています。ただし、法的なデータ保護要件をどのように 実行するかについては、一切明記していない。

データ保護と情報セキュリティ - そもそもマネジメントシステムとは何か？

マネジメントシステムの定義は抽象的であり、アドホックに運用することはできない。ISO/IEC 27000:2020規格では、マネジメントシステムの定義として、...

マネジメントシステムの要素がより詳細に定義されて初めて、GDPRの厳格な法的・運用的データ保護要件が、マネジメントシステムを具体的に導入することで満たされているかどうかを表明することができるのです。データ保護マネジメントシステムが運用されているという記述は、DSMSの品質や実施状況を示すものではありません。

マネジメントシステムの設計図としての「ハイレベルストラクチャー

国際標準化機構（ISO）は、High Level Structure（HLS）と呼ばれるマネジメントシステムの設計図を作成しました。この基本構造には、ISO がマネジメントシステムに関連すると考えるすべての要素が含まれています（ISO/IEC 指令第 1 部の附属書 SL の付録 2）。このため、マネジメントシステム規格の基本的な仕組みは非常によく似ています。

したがって、ISOの特定のDSMSである個人情報マネジメントシステム（PIMS）は、ISO 9001による品質マネジメントシステム、ISO 14001による環境マネジメントシステム、ISO 27001による情報セキュリティマネジメントシステムと同じ基盤を持っているのである。

データ保護と情報セキュリティ - GDPRのマネジメントシステムへの統合

国際規格ISO/IEC 27701に準拠したPIMSは、欧州一般データ保護規則に合わせたものだけでなく、普遍的なものである。この規格は、ISO 27001に準拠した情報セキュリティマネジメントシステムに基づくデータ保護マネジメントシステムを記述しており、ISO 27701は、カリフォルニア州や日本のデータ保護法を含むあらゆる個人データの保護運用の実施に適しています。

BUT：データ保護規格に準拠したPIMSを開発・導入している人、言い換えれば、個人データを体系的に保護・管理している人は、データ保護の法的要件への準拠を確保・実証することが容易であることが分かります。これは、要求事項管理というマネジメントシステムの仕組みによって行われる。要求事項管理とは、内部および外部の要求事項を特定し、評価し、リスクに対応するための対策を実施するプロセスである。

データ保護と情報セキュリティの違いは何ですか？

この2つのテーマの根本的な違いは単純です。情報セキュリティは、保全すべきすべての企業資産を包含し、第三者による悪用からビジネスの機密情報を保護する役割を果たします。情報セキュリティには、ITシステムだけでなく、さまざまなものが含まれます。データ保護に関しては、個人データの保護を目的とした対策です。2018年5月以降、EU一般データ保護規則は、欧州全域で、つまり個人データを処理するすべての企業や公共団体で、拘束力をもって実施されなければならなくなったのです。

データ保護管理による5つのメリット

情報セキュリティとデータ保護の相互作用において、規格は常にベストプラクティスとして理解されるべきです。データセキュリティの要件と対策を具体的に実行するのは、ユーザー自身でなければなりません。

PIMSの一般的な利点は、データ保護規格による世界的な標準化と、規格の実装に関する豊富な文献にある。確かに、標準語は「慣れが必要」である。

利点その1：責任の分担

中小企業では、責任の所在が不明確、あるいは全くないことが企業文化として定着しているようです。多くの企業ポリシーにおいて、特定の活動や資産に対する責任が明確に定義され、対処されていないことが見受けられます。これは大きな欠点であり、運用におけるギャップやエラーにつながります。

BUT: データ保護は "チームスポーツ "である。すべてのタスクが特定され、責任者に割り当てられ、その責任者がタスクを遂行してこそ、データ保護に準拠した企業運営が可能になるのです。

PIMSを導入することにより、その規格の範囲内で所有権原則を組織に導入する必要がある。ただし、ここでいう所有者とは、民法上の意味ではない。むしろ、この規格のドイツ語では、所有者は、資産や要求事項や手段の実施に対する人の責任を指すのである。

例えば処理活動のディレクトリ（VVT）」の管理は、データ保護責任者（DPO）に委任されることが多い。もちろん、DPOは多くの処理活動にまったく関与していないことが多いので、これはまったくナンセンスであり、うまくいくはずがない。品質管理では、プロセスオーナーがプロセスの文書化を実行します。データ保護においても、トップマネジメントはこれを適切に委任する必要があります。

ISO27701に基づく証明書

認証の面では、ISO 27701はよく知られたISO 27001規格を補完するもので、認証によってデータ保護を確認する最初の規格になります。DQSは現在、ドイツの認定機関（DAkkS）による認定プロセスに入っています。

メリット②：運用データ保護はリスク志向で

ドイツのDS-GVOでは、欧州の立法者は、例えば第32条（1）DS-GVOにおいて、データセキュリティのリスク志向の実施を要求しています。このリスク志向は、マネジメントシステムが正式に導入されていない企業では、うまくいかないことが多い。ISO 27701データ保護規格の適用により、必然的にリスク志向が導入されます。この場合、データセキュリティのリスクアセスメントの方法は規定されておらず、制限の範囲内でユーザーが決定することができます。

利点その3：成功要因としての変更管理

データセキュリティプロセスは、組織内の変化がきっかけとなることがあります。例えば、ビジネスプロセス、サービス、製品の導入や適応がその例です。変更管理が行われていない企業は、データ保護要件に準拠する上で大きな問題を抱えています。なぜなら、変更は定期的にランダムかつ非管理的に処理されるからです。この結果、いわゆるレギュラトリーギャップが発生するのです。

PIMSは、これらの変更を変更管理によって記録・管理し、実施する。例えば、ビジネスプロセスの変更には、その許容性（合法性、データ経済性、データ主体の権利、VVTにおける文書化など）のチェックが必要である。

例えば変更の設計にデータ保護責任者を早期に関与させるという要件は、変更チームにデータ保護責任者を任命することで極めて簡単に達成することができます。

メリットその4：継続的な改善プロセスによる最適化

企業は常に変化しています。個人情報管理システムは、最初に企画し、導入し、運用するものです。最初にシステムを導入し、導入・運用しようとすると、経験不足から最適とは言えない結果になる可能性が非常に高いのです。また、導入時に経験豊富なコンサルタントに相談したとしても、つまずくことは予想されます。

どのPIMSも原理的には同じ仕組みを持っているが、その設計は異なる。組織の規模や組織文化、あるいは注力する業界によって、その仕組みの実装に影響が出ることもある。

PIMSを組織と利害関係者のニーズの変化に恒久的に適合させるための優れたサブメカニズムは、継続的改善プロセス（CIP）である。

例えば、一般データ保護規則では、データ収集時に顧客や市民などに、個人データの処理の性質と範囲、および関連する権利について知らせる情報シートを義務付けている。DS-GVOの第13条および第14条に基づくこれらの情報シートは、法律に従って発行されていますが、データ対象者からこの情報に対する要望が多く寄せられています。これらの改善提案を盛り込むことで、情報公開を最適化し、リソースを節約し、顧客満足度を高めることができると認識しています。

メリットその5：対策の詳細なカタログ

前述の通り、ISO27701はGDPRに合わせたものではありません。GDPR固有の要求事項をPIMSに追加するのは、規格利用者の責任である。

しかし、この国際規格は、運用上のデータ保護を一般的に実施するための3つの広範な措置のカタログをもたらす。

• 技術的および組織的措置。
• 管理者におけるデータ保護組織、および
• 処理者におけるデータ保護組織

ヨーロッパのユーザーにとって良いニュースは、新しい規格の作成者が、措置のカタログを設計する際に一般データ保護規則を強く意識していることです。つまり、一般的な措置のカタログを適用することで、GDPRの要件の多くがすでに対応づけられているのです。そして、不足する要件は、要件管理によってフォローアップされます。

対策は実装のベストプラクティスであり、マニュアルのスタイルで書かれている。GDPR（ビジネスルール）とは対照的に、対策は、規格の利用者に対して、どのように実装しなければならないかを説明するものである。筆者からすると、これは非常に大きなメリットである。

おわりにデータ保護と情報セキュリティ

ISO 27701に準拠したデータ保護マネジメントシステム（DSMS）を構築・導入した人、言い換えれば、個人データを体系的に保護・管理している人であれば、法的要求事項への適合性を確保・証明することが容易にできるようになります。この規格を適切に適用することで、DSMSの導入や運用における多くの失敗を防ぐことができます。

ただし、PIMSの認証は、ISO27001に基づく認証済みの情報セキュリティマネジメントシステムも企業で運用されている場合にのみ可能である。

DQS単に品質を活用すること。

マネジメントシステム規格は、法的義務を考慮し、それをビジネスプロセスに統合するための体系的・構造的な枠組みを提供します。安全策を講じたい企業は、情報セキュリティやDS-GVOに準拠した導入状況をDQSのような独立機関によって監査してもらうことができます。

DQSは、認証審査と評価をコアコンピタンスとしています。このため、信頼性、品質、顧客志向において常に新しいベンチマークを設定することを主張する、世界有数のプロバイダーとなっています。 同時に、情報セキュリティとデータ保護のための認証された管理システムは、外部からのデータ攻撃の際に、企業の勤勉さと先見性を証明するものです。

信頼と専門知識

当社のテキストやパンフレットは、当社の規格専門家または長年にわたる監査役によってのみ執筆されています。内容や著者のサービスに関してご不明な点がありましたら、お問い合わせ ください。ご相談をお待ちしております。