ことのはじまり

韓国で官民全部を適用範囲にした個人情報保護法が施行されたばかりの去年の10月頃、日本と同様適用にあたって混乱があるのかなと思いつつ、韓国のニュースサイトを(Google様の機械翻訳の助けを借りて)読んでいたところ、以下のニュースを目にした。

放送通信委、個人情報保護マネジメントシステムの国際標準化の推進 - 聯合ニュース(韓国語)

個人情報保護マネジメントシステム、国際標準化推進される - 保安ニュース(韓国語)

ゲッ! 勢いに乗ってこんなことまで!! ISO/IECとITU-Tに標準化提案して、とりあえず検討を始めることにしたとのこと。

ってゆうか、日本何やってたの?! JIS Q 15001はどーした? デキが悪すぎるので国際標準化はあきらめた? 更には、この標準化がなされると当然日本でもJIS化されることになるが、そうなるとこれまでのPマーク制度はどうなるか。下手すると、これまでマーク取得組織の努力は全部パー?!

ということで、ずっとどこかに情報ないか探していたのだが、見つからないまま年を越して、1/23に見つけた。

【放送通信標準制定】個人情報保護マネジメントシステム（PIMS） - KISA(韓国語)

上記ページ中の2番目にリンクされたPDFファイルが標準文書そのものだった。PDF/A形式でセキュリティ無しで公開。うーむ、オンラインでの閲覧以外許さないようにするために、Adobe ReaderのJavascriptをONにすることを強制させる、どっかの国の工業標準文書管理組織とはえらい違いだ。

どのようなことが書いてある?

問題の標準文書は、2011年12月30日に放送通信委員会(行政機能を持つ大統領直属の独立委員会組織で、韓国のICT行政を一手に担っている)と国立電波研究院(放送通信委員会配下の研究所)が発行した放送通信標準KCS.KO-12.0001で、タイトルを直訳すると「個人情報保護管理体系(PIMS)」で、以下意訳して「個人情報保護マネジメントシステム」と呼ぶことにする。英文タイトルも付いているが、こちらは"Personal Information Management System(PIMS)"となっている。おや、「保護」が訳出されていないのだが……?!

さて問題の中身だが、表紙や奥付含めて54ページ。だが1ページあたりの分量はそれほど多くない。以前韓国法を訳してみたので、これも訳して公開しようかと思ったが、これは発行者に著作権がある文書で、翻訳権も著作権のうちと考えると、勝手に訳文を公開するのはためらわれる。なので、章構成・タイトルのみ訳してみた(全文翻訳はまだやっていない)。

はじめに
　1. 標準の目的
　2. 主要内容要約
　3. 標準適用産業分野及び産業に及ぼす影響
　4. 参照標準（勧告）
　4.1 国外標準（勧告）
　4.2 国内標準（勧告）
　5. 参照標準（勧告）との比較
　5.1 参照標準（勧告）との関連性
　5.2 参照した標準（勧告）と本標準の比較表
　6. 知的財産権関連事項
　7. 適合認証関連事項
　7.1 適合認証対象の有無
　7.2 試験標準制定の有無
　8. 標準の履歴情報
　8.1 標準の履歴
　8.2 主要改正事項
目次
1. 概要
1.1 目的
1.2 適用範囲
1.3 適用対象
2. 標準の構成及び範囲
3. 用語定義
3.1 個人情報保護マネジメントシステム用語
3.2 技術的用語
4. 個人情報マネジメントシステム
4.1 概念
4.2 構成要素
5. 個人情報マネジメントプロセス
5.1 個人情報保護方針の確立
5.1.1 個人情報保護方針の確立
　ア. 個人情報保護方針の確立
　イ. 組織及び責任設定
　ウ. 内部管理計画の確立
5.2 個人情報範囲の設定
5.2.1 範囲設定
　ア. 個人情報の識別
　イ. 個人情報保護マネジメントシステムの範囲設定
5.3 リスク管理
5.3.1 リスク管理
　ア. リスク管理計画の確立
　イ. リスク評価
　ウ. リスク管理のための保護対策及び実施計画の確立
5.4 実装
5.4.1 実装
5.5 事後管理
5.5.1 事後管理
　ア. モニタリング及び改善
　イ. 個人情報保護マネジメントシステムの見直し
6. 個人情報保護対策
6.1 個人情報保護方針
6.1.1 方針の承認及び公表
　ア. 方針の承認
　イ. 方針の公表
6.1.2 方針の体系
　ア. 指針、手順、及び標準の確立
　イ. 方針間の一貫性
6.1.3 方針の維持管理
　ア. 方針の定期的見直し
　イ. 方針文書管理
6.2 個人情報保護組織
6.2.1 組織の体系
　ア. 個人情報保護組織体系の構成
　イ. 個人情報管理責任者(CPO)の指定
　ウ. 個人情報取扱部署別責任者及び担当者の指定
6.2.2 責任及び報告システム
　ア. 役割及び責任
　イ. 報告及び意思疎通システム
6.3 個人情報分類
6.3.1 個人情報資産の調査及び責任の割当
　ア. 個人情報資産の調査
　イ. 個人情報及び個人情報管理資産別責任の割当
6.3.2 個人情報資産の分類及び取扱
　ア. 個人情報フローの分析
　イ. 個人情報及び個人情報資産セキュリティ等級と取扱
6.4 教育及び訓練
6.4.1 教育及び訓練
　ア. 教育及び訓練の対象
　イ. 教育及び訓練の内容
6.4.2 施行及び評価
　ア. 教育及び訓練の施行
　イ. 教育及び訓練の評価
6.5 人的セキュリティ
6.5.1 個人情報取扱者の管理
　ア. 個人情報取扱者の監督
　イ. 人事規定
6.5.2 個人情報保護誓約
6.6 侵害事故処理及び対応手順
6.6.1 対応計画及びシステム
　ア. 侵害事故対応計画の確立
　イ. 侵害事故対応システムの構築
6.6.2 対応及び復旧
　ア. 侵害事故対応教育及び訓練
　イ. 侵害事故報告
　ウ. 侵害事故処理及び復旧
6.6.3 事後管理
　ア. 侵害事故の分析及び情報共有
　イ. 侵害事故の再発防止
6.7 技術的保護措置
6.7.1 アクセス制御
　ア. アクセス制御方針の確立
　イ. 個人情報取扱者の登録
　ウ. 個人情報取扱者権限の管理
　エ. 使用者パスワード管理
　オ. 使用者のアクセス権限のレビュー
　カ. 個人情報取扱者の責任
　キ. ネットワークアクセス
　ク. 運用システムアクセス
　ケ. アプリケーションプログラムアクセス
　コ. データベースアクセス
6.7.2 暗号制御
　ア. 暗号方針
　イ. 暗号の使用
　ウ. 暗号鍵管理
6.7.3 運用統制
　ア. 情報資産の変更管理
　イ. 職務分離
　ウ. 開発と運用環境の分離
　エ. ネットワーク運用対策
　オ. インターネット接続管理
　カ. リモート運用管理
　キ. 媒体の取扱及び保管
　ク. 媒体の廃棄
　ケ. 悪意のあるソフトウェアの制御
　コ. モバイルコンピューティング
　サ. リモート作業
　シ. 公開サーバのセキュリティ管理
6.7.4 システム開発セキュリティ
　ア. 分析及び設計セキュリティ管理
　イ. 実装及び試験
　ウ. 運用環境移行におけるセキュリティ
　エ. テストデータのセキュリティ
　オ. ソースプログラムアクセスセキュリティ
　カ. 変更管理手順
　キ. 運用システム変更時のレビュー
　ク. ソフトウェアパッケージの変更
6.7.5 出力、複写制御
　ア. 出力、複写時の用途の特定
　イ. 出力、複写時の記録及び承認
6.7.6 個人情報表示制限
　ア. 個人情報のマスキング
6.8 物理的保護措置
6.8.1 物理的セキュリティ対策
　ア. 物理的保護区域
　イ. 物理的アクセス制御
6.8.2 装備保護
　ア. ケーブル保護
　イ. 装備の安全な廃棄及び再使用
6.8.3 事務室保護
6.9 内部レビュー及び監査
6.9.1 法的要求事項順守のレビュー
6.9.2 個人情報保護方針及び順守のレビュー
　ア. 方針の順守レビュー
　イ. 技術的レビュー
6.9.3 モニタリング
　ア. 個人情報処理活動のモニタリング
　イ. 個人情報閲覧記録のレビュー及び誤乱用防止
　ウ. 個人情報処理記録のレビュー及び偽造変造防止
　エ. 時刻同期化
6.9.4 セキュリティ監査
　ア. セキュリティ監査計画及び履行
　イ. 監査結果及び事後管理
7. 個人情報ライフサイクル
7.1 個人情報収集に伴う措置
7.1.1 最小限の情報収集
　ア. サービス提供のために必要な最小限の情報収集
　イ. 重要情報の収集制限
　ウ. 間接収集時の措置
7.1.2 個人情報収集時の告知及び同意の獲得
　ア. 情報主体の同意
　イ. 法的代理人の同意の獲得
　ウ. 同意記録の保管
7.1.3 個人情報取扱方針の準備及び掲示
7.2 個人情報利用及び提供に伴う措置
7.2.1 同意範囲内での個人情報の使用
7.2.2 利用者の権利の保護
　ア. 利用者の苦情処理
　イ. 閲覧訂正要求権の保証及び処理
　ウ. 同意の撤回
　エ. 利用者要請の処理
7.2.3 外部委託時の個人情報保護
　ア. 利用者の告知及び同意
　イ. 委託者の責任
　ウ. 外部委託の管理監督
　エ. 外部委託契約関連事項
7.2.4 第三者提供時の個人情報保護
　ア. 第三者提供時の同意
　イ. 提供された個人情報の管理
　ウ. 第三者のセキュリティ管理
　エ. 第三者提供時契約関連事項
7.2.5 譲渡、譲受、合併等個人情報移転時の個人情報保護
　ア. 個人情報を移転する場合の保護措置
　イ. 個人情報を移転される場合の保護措置
7.2.6 海外移転時の個人情報保護
7.3 個人情報管理及び破棄に伴う措置
7.3.1 個人情報の保存及び管理
　ア. 個人情報の保存及び管理
　イ. 破棄規定
　ウ. 破棄時点
　エ. 破棄方法
　オ. 目的達成後の保有
附属書A. 個人情報保護マネジメントシステム認証審査基準

「はじめに」のところで、参照する標準として、ISMS関連の標準であるISO/IEC27000, 27001, 27002を挙げている。すなわち、この標準はISMS標準をベースにしていることがわかる。タイトルを見ると、本文の第5章が27001の本文の要求事項部分(第4〜8章)、第6章が27001の附属書A.の管理策を散りばめており、第7章が個人情報保護特有の部分ということになるようだ。

所感

中身理解していないからか、現状での所感はこんなところ。

• ざっと見、このまま国際標準になることはないなという感じ。但し、EU指令等の動向や諸外国が標準化検討に合意していることを考えると、個人情報保護に関するISO標準が出ないということはないだろうと思う。少なくともISMS等他国際標準をベースにしている分、JIS Q 15001よりはずっと筋はいいだろう。
• 他のマネジメントシステム(ISMS, QMS, EMS等)の章構成と比較すると大分異なるように見える(JIS Q 15001も異なるが)。マネジメントシステム自体の標準化、リスクアセスメント自体の標準化も進んでいるので、これらとの整合も必要だろう。ISO/IEC 27001, 27002も改訂作業中なので、その変更も盛り込む必要がありそうだ。
• JIS Q 15001でいう「安全管理措置」に相当するものが第6章でISMS管理策をベースに具体化されているが、ISMSが管理策を適用組織自らがリスクアセスメントに基いて取捨選択・追加できる柔軟性があるのと比較して、管理策を決め付けているのが気に入らない。タイトルだけ見ると、取捨選択できるのかもわからず、全部やれと言っているようにも見える。
• 第7章の位置付けがよくわからない。第6章と同格の位置付けなのか。
• 7.2.5, 7.2.6で個人情報の移転について考慮しているのは、(記述の程度はともかく)良いのではないかと思う。
• 記載内容を見ていないのだが、附属書A.はどのような意味で掲載しているのだろうか。制度の話は出てこないが、「認証審査」という言葉が気になる。てゆうか、この標準文書で語るべき話なのだろうか。

これからどーする、どーなる?!

この標準化動向に呼応して、来月に以下のシンポジウムが開かれるとのこと。

日本のプライバシー・個人情報保護とマネージメントシステムの国際標準化シンポジウム - 情報ネットワーク法学会

標準化動向のみならず、韓国の法科大学院の先生による話も聞けるようだ。そして、今後日本はどう対応していくかについても論点整理がなされる模様。ライブ中継ないのが残念(twitterでのtsudaりは可能らしい)。行こうかな。