kojinjouhou_pc_lock.png

PIIって何?
ISO/IEC29100(JIS X 9250)
プライバシーフレームワーク
- プライバシー保護の枠組み及び原則 -

ISO/IEC 27018 パブリッククラウドにおける個人識別情報保護のための実践規範
ISO/IEC 29151 個人識別可能な情報保護の実践規範 を活用するために重要な
ISO/IEC 29100:2011(JIS X 9250)「プライバシーフレームワーク」

クラウドセキュリティとPII保護を目的とした 意識向上・教育訓練・ISMSの見直しなど お気軽にお問い合わせください

プライバシーフレームワーク①

  1. はじめに
  2. JIS X 9250とは?
  3. PII(個人識別可能情報)とは?
  4. プライバシーフレームワーク
  5. JIS X 9250目的と意図
  6. ISMSとの関係
  7. 関係図
  8. プライバシーフレームワーク概要
  9. ①登場者(Actor)
  10. ②インタラクション(PIIのやりとり)
  11. ③PIIの認識(識別)について

JIS X 9250(ISO/IEC 29100)解説
ISO/IEC 27017が発行され、クラウドセキュリティ認証や審査員登録が開始されました。
以前から気になっていたのが、ISMS 管理策(ISO/IEC 27002) 18.1.4 プライバシー及び個人を特定できる情報(PII)の保護

そして気になるのが、
「PIIプロセッサとしてパブリッククラウド内で個人情報を保護するための実施基準」(ISO/IEC 27018)と
「PII保護のための実践の規範」(ISO/IEC 29151)なのですが、
それら規格に共通する附属書11項目と関係の深いのが、JIS化の進むISO/IEC 29100(JIS X 9250)
「プライバシーフレームワーク」です。

本ガイドブックでは、ISO/IEC 27018及びISO/IEC 29151を読み解くためにJIS X 9250
『プライバシーフレームワーク(プライバシー保護の枠組み及び原則)』についての理解を深めることを目的としています。
(筆者)

JIS X 9250ではICTシステムにおけるPII(個人識別可能情報)保護のための概念レベルの枠組み(フレームワーク)が提供されています

LinkIconHOME

用語定義概要
PII(Personally Identifiable Information)個人識別可能情報

その情報に関連するPII主体を識別するために利用され得る情報
・PII主体に直接もしくは間接的にひも(紐)付られるか可能性がある情報
・PII主体が識別可能か否かを判断するには、その個人を識別するために、そのデータを保有するプライバシー利害関係者※2又は他の者が合理的に利用することができる全ての手段を考慮するのがよい。(用語 2.9)

PII主体(PII principal)

PIIに関連する個人で、法域や特定のデータ保護並びにプライバシーに関する法令によっては、「データ主体」という同意語を使用することができるとされています。(用語 2.11)

プライバシー利害関係者(Privacy Stakeholder)

PII処理に関連した意思決定者若しくは活動に影響を与える、当該意思決定若しくは活動から影響を受けることがある、又は影響を受けると認識している、個人、法人、公共団体、政府機関又は他の団体(用語 2.22)

この規格では、次に示す事項の全てを含むものをプライバシーフレームワークと呼んでいます。
(JIS X 9250 1.適用範囲より)

 ①一般的なプライバシーについての用語規定
 ②PII処理における登場者(actor)及びその役割定義
 ③プライバシー安全対策(管理目的)の実施における考慮点の説明
 ④情報技術に関する既知のプライバシー原則のリファレンス提供


JIS X 9250 の目的と意図

組織が、ICT環境におけるPIIに関連するプライバシー安全対策要件を定義するための一助になることを目的として以下の事項が提供されています。
 ①共通プライバシー用語の規定
 ②PIIの処理における役割の定義
 ③プライバシー安全対策要件の説明
 ④既知のプライバシー原則のリファレンス
PII(個人識別可能情報)処理に焦点を当て既存のセキュリティ標準拡張が目的


この規格によって実現すること

 ①PIIを扱い、かつ保護する(ICTシステム設計・実装・運用・保守)
 ②ICTシステムにおけるPII保護を可能にする革新的な解決策を促進する
 ③ベストプラクティスの利用を通して、プライバシープログラムを改善する


プライバシーの標準化の基礎として役立てることができるとされています

 ①技術的なアーキテクチャのリファレンス
 ②具体的なプライバシー技術の実装及び利用
  全体的なプライバシーマネジメント
 ③外部委託したデータ処理のプライバシー管理策
 ④プライバシーリスクアセスメント
 ⑤具体的な工業規格

ISO/IEC 29100:2011 (JIS X 9250)はPII(個人識別可能情報)保護のフレームワークの標準化の基礎であることが理解できます。
JIS化されることにより、ISMSでマネジメントを行い、ISO/IEC 27002に基づいてクラウドサービスに続き、個人情報保護を目的とした管理策の実装が標準化されることになります。
(JIS Q 9250 附属書Aにこの規格とJIS Q 27000の概念との対応表が掲載されています)

LinkIconHOME

この規格におけるプライバシー原則


プライバシー原則 ISO/IEC 29100 原文
1  同意及び選択  Consent and choice
2  目的の正当性及び明確化  Purpose legitimacy and specification
3  収集制限
 Collection limitation
4
 データの最小化  Data minimization 
5  利用、保持及び開示の制限  Use, retention and disclosure limitation 
6  正確性及び品質  Accuracy and quality
7  公開性、透明性、及び通知  Openness, transparency and notice
8  個人参加及びアクセス  Individual participation and access
9  責任  Accountability
10  情報セキュリティ  Information security
11  プライバシーコンプライアンス  Privacy compliance



OECD8原則と個人情報保護法


OECD 8 原則 個人情報保護法
1  目的明確化の原則
 法第15条(利用目的の特定)
2  利用制限の原則  法第16条(利用目的による制限)
 法第23条(第三者提供の制限)
3  収集制限の原則
 法第17条(適正な取得)

4
 データ内容の原則  法第19条(データ内容の正確性の確保)
5  安全保護の原則  法第20条(安全管理措置)
 法第21条(従業者の監督)
 法第22条(委託先の監督)
6  公開の原則  法第18条(取得に際しての利用目的の通知等)
 法第24条(保有個人データに関する事項の公表等)

7  個人参加の原則  法第25条(開示)
 法第26条(訂正等)
 法第27条(利用停止等)
8  責任の原則  法第31条(苦情処理)


プライバシーフレームワークについてのガイドブックを作成しました(全36ページ)

プライバシーフレームワーク_サンプル01.pngプライバシーフレームワーク_サンプル02.pngプライバシーフレームワーク051.pngプライバシーフレームワーク_サンプル07.pngプライバシーフレームワーク061.png

オリジナル教材群.png0-26.jpg
LinkIconオリジナル教材(書籍)販売
LinkIconISMS Society会員(Cloud for ISMSのアカウントを有する方)はPDF版のダウンロード(無料)が可能です

名称未設定.png

LinkIconHOME

作成:2017.03.04
更新:2017.03.25 フラッシュガイドを追加