この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
このドキュメントの目的のために、ISO/IEC 17788 に記載されている用語と定義、および以下が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1 データカテゴリに関する用語
3.1.1
アカウントデータ
クラウド サービスを管理するために必要な各 CSC に固有のデータのクラス
注記 1:通常、アカウント データは、クラウド サービスが購入され、CSP の管理下にあるときに生成されます。
注記 2:アカウント データは、名前、住所、電話番号など、CSC によって提供されるデータ要素で構成されます。
3.1.2
エンドユーザーを特定できる情報
EUⅡ
ユーザーによるサービスの使用から取得または生成される、ユーザーに関連付けられた派生データ
3.2 クラウド サービスおよびデバイス エコシステムに関する用語
3.2.1
デバイス
1 つ以上のクラウド サービスと直接的または間接的に通信する物理エンティティ
3.2.2
アプリケーションマーケットプレイス
特定の デバイス プラットフォーム (3.2.4) 向けにアプリケーションやその他のデジタル コンテンツを提供することを目的としたデジタル マーケットプレイスを提供する一連のクラウド サービスで、ユーザーはアプリケーションやその他のコンテンツを閲覧およびダウンロードできます。
注記 1:アプリケーションマーケットプレイスは、一般に提供される場合もあれば、企業環境などの非公開グループに提供される場合もあります。
注記 2: デバイス (3.2.1) は、複数のアプリケーション マーケットプレイスを使用できます。
3.2.3
アプリケーション クラウド サービス
特定のデバイス上で実行されるアプリケーションをサポートするクラウド サービス (3.2.1) 。クラウド サービスは、 デバイス プラットフォーム プロバイダー (3.2.5) 以外の当事者によって提供されます。
3.2.4
デバイス プラットフォーム
デバイスのコア機能を提供するオペレーティング システムおよび関連する機能セット (3.2.1)
注記 1: アプリケーション マーケットプレイス (3.2.2) はanデバイス プラットフォームに固有のものです。
3.2.5
デバイス プラットフォーム プロバイダー
デバイス プラットフォーム クラウド サービス プロバイダー
必要なデジタル ID の管理を含む、 デバイス プラットフォーム (3.2.4) をサポートするために必要なクラウド サービスを提供するクラウドサービス プロバイダー。
注記 1: アプリケーション マーケットプレイス (3.2.2) を提供するクラウド サービス プロバイダーは、通常、デバイス プラットフォーム プロバイダーと同じですが、そうである必要はありません。
3.2.6
デバイス プラットフォーム クラウド サービス
デバイス プラットフォーム プロバイダー (3.2.5) が デバイス プラットフォーム (3.2.4) をサポートするために提供するクラウド サービス
注記 1: アプリケーション マーケットプレイス (3.2.2) はanデバイス プラットフォーム クラウド サービスの例です。
3.3 プライバシーに関する用語
3.3.1
個人を特定できる情報
PII
個人データ
(a) 情報とその情報が関係する自然人との間のリンクを確立するために使用できる情報、または (b) 自然人に直接的または間接的にリンクされている、またはリンクされる可能性のある情報
注記 1:定義における「自然人」は PII プリンシパル (3.3.3) です。 PII プリンシパルが識別可能かどうかを判断するには、PII のセットと自然人との間のリンクを確立するために、データを保持するプライバシー利害関係者、またはその他の当事者が合理的に使用できるすべての手段を考慮する必要があります。
注記 2:この定義は、この文書で使用される PII という用語を定義するために含まれています。パブリック クラウドの PII プロセッサ (3.3.2) は、通常、クラウド サービスの顧客によって透明化されない限り、処理する情報が特定のカテゴリに分類されるかどうかを明示的に知る立場にはありません。
[出典: ISO/IEC 29100:2011/Amd1:2018, 2.9]
3.3.2
PII コントローラー
個人を特定できる情報(PII) (3.3.1) を処理する目的と手段を決定するプライバシー利害関係者 (またはプライバシー利害関係者) (個人的な目的でデータを使用する自然人以外)
注記 1: PII 管理者は、 PII 処理者 (3.3.4) などの他の者に、PII 管理者に代わって PII を処理するよう指示することがありますが、処理の責任は PII 管理者にあります。
[出典: ISO/IEC 29100:2011, 2.10]
3.3.3
PII プリンシパル
個人を特定できる情報(PII) (3.3.1) が関連する自然人
注記 1:法域および特定の PII 保護およびプライバシー法によっては、「PII プリンシパル」という用語の代わりに「データ主体」という同義語を使用することもできます。
[出典: ISO/IEC 29100:2011, 2.11]
3.3.4
PII プロセッサ
個人を特定できる情報(PII) (3.3.1) を、 PII コントローラー (3.3.2) に代わって、その指示に従って処理するプライバシー利害関係者。
[出典: ISO/IEC 29100:2011, 2.12]
3.4 組織データに関する用語
3.4.1
個人データ
法的またはその他の理由により、自然人の管理下にあるデータオブジェクトのクラス
注記1:個々のデータは混合データセット(3.4.6)である可能性があります。
注記 2: CSC が自然人である場合、顧客コンテンツ データは個人データです。
3.4.2
組織データ
法律上、契約上、またはその他の理由により、組織の管理下にあるデータオブジェクトのクラス
注記 1組織は、営利企業、非営利組織、公的機関または政府機関、非政府組織または国際組織であり、小規模、中規模、または大規模である可能性があります。
注記 2: CSC が組織であり、したがって自然人ではない場合の顧客コンテンツの組織データ。
注記 3:クラウド サービス プロバイダーのデータ (ISO/IEC 17788) は、本質的に常に組織のデータです。
注記 4:組織データは 混合データセット (3.4.6) である可能性があります。
3.4.3
組織の保護データ
OPD
データ処理のガバナンスによって確立されたポリシーに基づいて保護が必要な組織データ
注記 1:組織には、その管理下にあるデータを管理するポリシーがあります。 ISO/IEC 38505-1 は、データのガバナンスの観点から関連する、データの使用に関するより高いレベルのガバナンスの懸念を特定し、調査します。
注記 2:組織データには、OPD と PII を含めることができます。
3.4.4
パブリックドメインのデータ
誰も著作権やその他の知的財産を保持していない、または保持できないデータ オブジェクトのクラス
注記 1:データは、一部の法域ではパブリック ドメインにある場合と、そうでない場合があります。
注記 2:パブリック ドメインの概念と、これと「公開されている」の違いは微妙であり、法域によって異なります。読者は、自分に適用される可能性のある特定の法的状況を認識しておく必要があります。
3.4.5
非個人データ
PII を含まないデータ オブジェクトのクラス (3.3.1)
注記 1:元は PII であり、後に匿名化されたデータ オブジェクトは非個人データです。
3.4.6
混合データセット
PII (3.3.1) と 非個人データ (3.4.5) の 両方を含むデータオブジェクトのセット
3.4.7
データプリンシパル
データが関連するエンティティ
注記 1: 「データ プリンシパル」という用語は、「PII プリンシパル」(または他の場所で使用されている「データ主体」) よりも広く、個人、組織、デバイス、またはソフトウェア アプリケーションなどのエンティティを表すことができます。 .
[出典: ISO/IEC 20889:2018, 3.4]
3.5 人工知能に関する用語
3.5.1
人工知能
<システム> 知識とスキルを取得、処理、適用するために設計されたシステムの能力
1 年生から入学まで:知識とは、経験や教育を通じて獲得した事実、情報、およびスキルです。
[出典: ISO/IEC CD 22989-2 ]
3.5.2
人工知能
<工学分野>知識と技術を習得し、処理し、適用する能力を備えたシステムの工学を研究する分野
1 年生から入学まで:知識とは、経験や教育を通じて獲得した事実、情報、およびスキルです。
[出典: ISO/IEC CD 22989]
3.5.3
人工知能システム
AIシステム
AIを活用したシステム
[出典: ISO/IEC CD 22989]
3.5.4
機械学習
ml
システムがデータや経験から学習できるようにする計算技術を使用したプロセス
[出典: ISO/IEC CD 23053-3 ]
3.5.5
機械学習モデル
入力データに基づいて推論または予測を生成する数学的構造
注記1:教師あり学習の場合、トレーニングまたは機械学習アルゴリズムから得られる機械学習モデル
注記 2:たとえば、単変量線形関数 (y = w0 + w1(x)) が線形回帰を使用してトレーニングされている場合、結果のモデルは y = 3 + 7(x) になる可能性があります。
[出典: ISO/IEC CD 23053]
3.5.6
モデルトレーニング
<機械学習> 与えられたデータセットから最適なモデル パラメータを決定するタスク
[出典: ISO/IEC CD 23053]
3.5.7
訓練されたモデル
モデルトレーニングの結果
[出典: ISO/IEC CD 23053]
3.5.8
訓練データ
機械学習モデルの適合に使用されるサンプル
[出典: ISO/IEC CD 23053]
3.6 一般用語
3.6.1
ライフサイクル
システム、製品、サービス、プロジェクト、またはその他の人間が作ったエンティティの、構想から引退までの進化
[出典: ISO/IEC 29110-4-3:2018, 3.15]
3.6.2
透明度
オープンで包括的でわかりやすい情報の提示
[出典: ISO 21931-2:2019, 3.33]
参考文献
| [1] | ISO/IEC 19086-1, 情報技術 — クラウド コンピューティング — サービス レベル アグリーメント (SLA) フレームワーク — 1: 概要と概念 |
| [2] | ISO/IEC 19944-2: — 5 、クラウド コンピューティングおよび分散型プラットフォーム — クラウド サービスおよびデバイス: データ フロー、データ カテゴリ、およびデータ使用 — 2:利用・延長案内 |
| [3] | ISO/IEC 20889:2018, プライバシー強化データ匿名化の用語と技術の分類 |
| [4] | ISO 21931-2:2019, 建築物および土木工事における持続可能性 — 持続可能性評価の基礎としての建設工事の環境的、社会的および経済的パフォーマンスの評価方法のフレームワーク — 2:土木工事 |
| [5] | ISO/IEC 22624:2020, 情報技術 — クラウド コンピューティング — 分類法に基づくクラウド サービスのデータ処理 |
| [6] | ISO/IEC 22989: -6 、情報技術 - 人工知能 - 人工知能の概念と用語 |
| [7] | ISO/IEC 23053: — 7 、情報技術 — 人工知能 — 機械学習 (ML) を使用した人工知能 (AI) システムのフレームワーク |
| [8] | ISO/IEC CD 23751:- 8 、情報技術 - クラウド コンピューティングおよび分散プラットフォーム - データ共有契約 (DSA) フレームワーク |
| [9] | ISO/IEC 27033-3:2010, 情報技術 — セキュリティ技術 — ネットワーク セキュリティ — 3: リファレンス ネットワーキング シナリオ — 脅威、設計手法、および制御の問題 |
| [10] | ISO/IEC 27040, 情報技術 - セキュリティ技術 - ストレージ セキュリティ |
| [11] | ISO 27701:2019, セキュリティ技術 — プライバシー情報管理のための ISO/IEC 27001 および ISO/IEC 27002 の拡張 — 要件とガイドライン |
| [12] | ISO/IEC 29100:2011, 情報技術 - セキュリティ技術 - プライバシー フレームワーク |
| [13] | ISO/IEC 29110-4-3:2018, システムおよびソフトウェア工学 — 非常に小規模なエンティティ (VSE) のライフサイクル プロファイル — 4-3: サービス提供 — プロファイル仕様 |
| [14] | ISO/IEC 38505-1, 情報技術 — IT のガバナンス — データのガバナンス — 1: データのガバナンスへの ISO/IEC 38500 の適用 |
| [15] | s 、(情報コミッショナーのオフィス)。個人データの削除: データ保護法、バージョン 1.1, 2014 年。入手先: < https://ico.org.uk/for_organisations/guidance_index/~/media/documents/library/Data_Protection/Practical_application/deleting_personal_data.pdf > |
| [16] | Reardon J, Basin D, Capkun S, SOK : Secure Data Deletion, セキュリティとプライバシーに関する IEEE シンポジウム、2013 年。 |
| [17] | 一般データ保護規則( GDPR ) 2016. 以下から入手可能: < https://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf > |
| [18] | 英国調査権限法2016 年。入手先: < http://www.legislation.gov.uk/ukpga/2016/25/contents/enacted/data.htm > |
| [19] | 日本における個人情報の保護に関する改正法。 2006. < http://law.e-gov.go.jp/htmldata/H15/H15HO057.html >から入手可能 |
| [20] | 2019 年個人情報保護および 電子 文書法(he ) 保護と電子文書-act-pipeda/ > |
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 17788 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1 Terms related to data categories
3.1.1
account data
class of data specific to each CSC that is required to administer the cloud service
Note 1 to entry: Account data is typically generated when a cloud service is purchased and is under the control of the CSP.
Note 2 to entry: Account data consists of data elements provided by the CSC, such as name, address, telephone, etc.
3.1.2
end user identifiable information
EUII
derived data associated with a user that is captured or generated from the use of the service by that user
3.2 Terms related to cloud services and devices ecosystem
3.2.1
device
physical entity that communicates directly or indirectly with one or more cloud services
3.2.2
application marketplace
set of cloud services providing a digital marketplace intended to offer applications and other digital content for a particular device platform (3.2.4) allowing users to browse and download applications and other content
Note 1 to entry: An application marketplace may be offered to the public, or to private groups such as a corporate environment.
Note 2 to entry: A device (3.2.1) can use more than one application marketplace.
3.2.3
application cloud service
cloud service that supports applications running on a given device (3.2.1) , where the cloud service is provided by a party other than the device platform provider (3.2.5)
3.2.4
device platform
operating system and related feature set that provides the core capabilities for a device (3.2.1)
Note 1 to entry:an application marketplace (3.2.2) is specific to a device platform.
3.2.5
device platform provider
device platform cloud service provider
cloud service provider that provides cloud services necessary to support a device platform (3.2.4) including managing needed digital identities
Note 1 to entry: The cloud service provider that offers the application marketplace (3.2.2) is typically the same as the device platform provider, but it is not required to be.
3.2.6
device platform cloud service
cloud service offered by the device platform provider (3.2.5) to support the device platform (3.2.4)
Note 1 to entry:an application marketplace (3.2.2) can be an example of device platform cloud service.
3.3 Terms related to privacy
3.3.1
personally identifiable information
PII
personal data
any information that (a) can be used to establish a link between the information and the natural person to whom such information relates, or (b) is or can be directly or indirectly linked to a natural person
Note 1 to entry: The “natural person” in the definition is the PII principal (3.3.3). To determine whether a PII principal is identifiable, account should be taken of all the means which can reasonably be used by the privacy stakeholder holding the data, or by any other party, to establish the link between the set of PII and the natural person.
Note 2 to entry: This definition is included to define the term PII as used in this document. A public cloud PII processor (3.3.2) is typically not in a position to know explicitly whether information it processes falls into any specified category unless this is made transparent by the cloud service customer.
[SOURCE: ISO/IEC 29100:2011/Amd1:2018, 2.9]
3.3.2
PII controller
privacy stakeholder (or privacy stakeholders) that determines the purposes and means for processing personally identifiable information (PII) (3.3.1) other than natural persons who use data for personal purposes
Note 1 to entry: A PII controller sometimes instructs others, e.g. PII processors (3.3.4) to process PII on its behalf while the responsibility for the processing remains with the PII controller.
[SOURCE: ISO/IEC 29100:2011, 2.10]
3.3.3
PII principal
natural person to whom the personally identifiable information (PII) (3.3.1) relates
Note 1 to entry: Depending on the jurisdiction and the particular PII protection and privacy legislation, the synonym “data subject” can also be used instead of the term “PII principal”.
[SOURCE: ISO/IEC 29100:2011, 2.11]
3.3.4
PII processor
privacy stakeholder that processes personally identifiable information (PII) (3.3.1) on behalf of and in accordance with the instructions of a PII controller (3.3.2)
[SOURCE: ISO/IEC 29100:2011, 2.12]
3.4 Terms related to organizational data
3.4.1
individual data
class of data objects under the control, by legal or other reasons, of a natural person
Note 1 to entry: Individual data can be a mixed dataset (3.4.6).
Note 2 to entry: Customer content data is individual data when the CSC is a natural person.
3.4.2
organizational data
class of data objects under the control, by legal, contractual or other reasons, of an organization
Note 1 to entry: An organization can be a for-profit company, a non-profit organization, a public or government agency, a non-governmental organization or an international organization, and can be small, medium or large.
Note 2 to entry: Customer content organizational data when the CSC is an organization and thus not a natural person.
Note 3 to entry: Cloud service provider data (ISO/IEC 17788) is always organizational data by nature.
Note 4 to entry: Organizational data can be a mixed dataset (3.4.6) .
3.4.3
organizational protected data
OPD
organizational data whose protection is required based on the policies established by governance of data process
Note 1 to entry: Organizations have policies that govern the data under their control. ISO/IEC 38505-1 identifies and examines higher level governance concerns regarding the use of data which is relevant from the perspective of governance of data.
Note 2 to entry: Organizational data can contain OPD and PII.
3.4.4
public domain data
class of data objects over which nobody holds or can hold copyright or other intellectual property
Note 1 to entry: Data can be in the public domain in some jurisdictions, while not in others.
Note 2 to entry: The concept of public domain and the difference between this and"publicly available" is subtle and varies between jurisdictions. Readers should make themselves aware of the specific legal situation as it may apply to them.
3.4.5
non-personal data
class of data objects that does not contain PII (3.3.1)
Note 1 to entry: data objects that were originally PII and were later made anonymous are non-personal data.
3.4.6
mixed dataset
set of data objects that contain both PII (3.3.1) and non-personal data (3.4.5)
3.4.7
data principal
entity to which data relates
Note 1 to entry: The term “data principal” is broader than “PII principal” (or “data subject” as used elsewhere) and is able to denote any entity such as a person, an organization, a device, or a software application.
[SOURCE: ISO/IEC 20889:2018, 3.4]
3.5 Terms related to artificial intelligence
3.5.1
artificial intelligence
<system> capability of an engineered system to acquire, process and apply knowledge and skills
Note 1 to entry: knowledge are facts, information, and skills acquired through experience or education.
[SOURCE: ISO/IEC CD 22989 2 ]
3.5.2
artificial intelligence
<engineering discipline>discipline which studies the engineering of systems with the capability to acquire, process and apply knowledge and skills
Note 1 to entry: knowledge are facts, information, and skills acquired through experience or education.
[SOURCE: ISO/IEC CD 22989]
3.5.3
artificial intelligence system
AI system
system using AI
[SOURCE: ISO/IEC CD 22989]
3.5.4
machine learning
ml
process using computational techniques to enable systems to learn from data or experience
[SOURCE: ISO/IEC CD 23053 3 ]
3.5.5
machine learning model
mathematical construct that generates an inference, or prediction, based on input data
Note 1 to entry: for supervised learning, a machine learning model results from the training or a machine learning algorithm
Note 2 to entry: for example, if a univariate linear function (y = w0 + w1(x)) has been trained using linear regression, the resulting model could be y = 3 + 7(x).
[SOURCE: ISO/IEC CD 23053]
3.5.6
model training
<machine learning> task of determining optimal model parameters from a given dataset
[SOURCE: ISO/IEC CD 23053]
3.5.7
trained model
result of model training
[SOURCE: ISO/IEC CD 23053]
3.5.8
training data
samples used to fit a machine learning model
[SOURCE: ISO/IEC CD 23053]
3.6 General terms
3.6.1
lifecycle
evolution of a system, product, service, project or other human-made entity, from conception through retirement
[SOURCE: ISO/IEC 29110-4-3:2018, 3.15]
3.6.2
transparency
open, comprehensive and understandable presentation of information
[SOURCE: ISO 21931-2:2019, 3.33]
Bibliography
| [1] | ISO/IEC 19086-1, Information technology — Cloud computing — Service level agreement (SLA) framework — 1: Overview and concepts |
| [2] | ISO/IEC 19944-2:— 5 , Cloud computing and distributed platforms — Cloud services and devices: data flow, data categories and data use — 2: Use and extension guidance |
| [3] | ISO/IEC 20889:2018, Privacy enhancing data de-identification terminology and classification of techniques |
| [4] | ISO 21931-2:2019, Sustainability in buildings and civil engineering works — Framework for methods of assessment of the environmental, social and economic performance of construction works as a basis for sustainability assessment — 2: Civil engineering works |
| [5] | ISO/IEC 22624:2020, Information technology — Cloud computing — Taxonomy based data handling for cloud services |
| [6] | ISO/IEC 22989:— 6 , Information Technology — Artificial Intelligence — Artificial Intelligence Concepts and Terminology |
| [7] | ISO/IEC 23053:— 7 , Information Technology — Artificial Intelligence — Framework for Artificial Intelligence (AI) Systems Using Machine Learning (ML) |
| [8] | ISO/IEC CD 23751:— 8 , Information technology — Cloud computing and distributed platforms — Data sharing agreement (DSA) framework |
| [9] | ISO/IEC 27033-3:2010, Information technology — Security techniques — Network security — 3: Reference networking scenarios — Threats, design techniques and control issues |
| [10] | ISO/IEC 27040, Information technology — Security techniques — Storage security |
| [11] | ISO 27701:2019, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines |
| [12] | ISO/IEC 29100:2011, Information technology — Security techniques — Privacy framework |
| [13] | ISO/IEC 29110-4-3:2018, Systems and software engineering — Lifecycle profiles for very small entities (VSEs) — 4-3: Service delivery — Profile specification |
| [14] | ISO/IEC 38505-1, Information technology — Governance of IT — Governance of data — 1: Application of ISO/IEC 38500 to the governance of data |
| [15] | ICO, (Information Commissioner’s Office). Deleting personal data: Data Protection Act, Version 1.1, 2014. Available from: < https://ico.org.uk/for_organisations/guidance_index/~/media/documents/library/Data_Protection/Practical_application/deleting_personal_data.pdf > |
| [16] | Reardon J., Basin D., Capkun S., SOK: Secure Data Deletion, IEEE Symposium on Security and Privacy, 2013. Available from: < http://www.ieee-security.org/TC/SP2013/papers/4977a301.pdf > |
| [17] | General Data Protection Regulation (GDPR). 2016. Available from: < https://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf > |
| [18] | UK Investigatory Powers Act. 2016, . Available from: < http://www.legislation.gov.uk/ukpga/2016/25/contents/enacted/data.htm > |
| [19] | Amended Act on the Protection of Personal Information in Japan. 2006. Available from: < http://law.e-gov.go.jp/htmldata/H15/H15HO057.html > |
| [20] | The Personal Information Protection and Electronic Documents Act (PIPEDA), 2019. Available from: < https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/ > |