ISMS規程類として、「個人情報保護規程」を入れるには?
現在、当社では「個人情報保護規程」というものを作ろうとおもっています。
その規程の位置づけとして
「本規程はISO 27001の認証基準に基づいた個人情報保護に関する規程である」
としています。
JIS 27001の本文には個人情報保護に対する記述は無かったと記憶しています。
その場合「ISO 27001の認証基準に基づいた」という言い方は変ではないかと思うのですが、いかがでしょうか?
ISO/IEC 27001(情報セキュリティマネジメントシステム規格)は国際規格であるため、日本国の「個人情報保護法」に直接対応した要求事項はありません。
しかし、以下のとおり、ISO/IEC 27001:2022の附属書Aでは、5.31にて「法令,規制及び契約上の要求事項」において、組織が遵守すべき情報セキュリティに関連する法律(個人情報保護法など)も特定することが要求されており、また5.34において「プライバシー及び個人識別可能情報(PII)の保護」として、明確に個人情報の保護に関して要求されています。
よって、「ISO 27001の認証基準に基づいた個人情報保護規程」と位置づけることは不自然ではなく、むしろ適切です。
5.31 法令,規制及び契約上の要求事項
情報セキュリティに関連する法令,規制及び契約上の要求事項,並びにこれらの要求事項を満たすための組織の取組を特定し,文書化し,また,最新に保たなければならない。
5.34 プライバシー及び個人識別可能情報(PII)の保護
組織は,適用される法令,規制及び契約上の要求事項に従って,プライバシー及びPIIの保護に関する要求事項を特定し,満たさなければならない。
「個人情報保護規程」を作る意義
ISMSの運用において、組織が扱う情報資産の中でも個人情報はリスクが高く、法令遵守が必須です。
規程を設けることで、法令・契約・規制要求事項を満たすための仕組みを明文化でき、監査対応や従業員教育にも役立ちます。
また、今後、プライバシーマークの認定を目指す場合には、ISO 27701(プライバシー情報マネジメント規格)との整合性も取りやすくなります。
注意点
- 法令遵守との整合性
- ISO 27001は国際規格ですが、日本国内では「個人情報保護法」や関連ガイドラインに従う必要があります。規程には必ず国内法の要求事項を反映させる必要があります。
- 範囲の明確化
- ISO/IEC 27001では、「個人識別可能情報(PII)」となっています。規程の対象となる「個人情報」「PII」の定義を明確にし、従業員が誤解しないようにしましょう。
- 因みに、PIIとは、Personally Identifiable Information(個人識別情報)とは、氏名、住所、電話番号、メールアドレス、マイナンバー、顔写真など、単独または他の情報と組み合わせることで特定の個人を識別できる情報全般を指し、日本の「個人情報」とほぼ同義です。
- ただ、日本の個人情報保護法における「個人情報」は法的な枠組みの中で、より広範かつ具体的に定義されています。したがって、規程を作成する際には国内法の定義を優先することが重要です。
- 他規程との整合性
- 情報セキュリティ運営管理規程やアクセス管理規程など、既存のISMS文書との整合性を保つよう注意してください。
表現例
「本規程はISO 27001の認証基準に基づいた個人情報保護に関する規程である」という表現でもよろしいですが、ISO/IEC 27001:2022のどの部分に対応しているかを記載されると、より対応が明確になるかと思います。
例えば、「本規程は、ISO/IEC 27001:2022の附属書Aの5.34『プライバシー及び個人識別可能情報(PII)の保護』に基づき、当社が適用法令・規制・契約上の要求事項を満たすために定める個人情報保護に関する規程である。」など。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
