※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。情報技術の分野では、ISO と IEC が合同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質に関する説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、次を参照してください。次の URL: www.iso.org/iso/foreword.html
この文書は、DIN, ドイツ標準化協会 (国内標準 DIN 66399-1 として) によって作成され、その編集規則に従って起草されました。合同技術委員会 ISO/IEC JTC 1, 情報技術に割り当てられ、「ファストトラック手順」の下で採択されました。
ISO/IEC 21964 シリーズのすべての部品のリストは、ISO Web サイトにあります。
序章
機密データ、個人データ、および/または機密データを自分自身または他の人に代わって処理する人は誰でも、そのような情報を含むデータ キャリアがプライバシーを保証する方法で安全に破棄されるようにする必要があります。
このコンテキストでは、安全に破棄するということは、機密データを含むデータ キャリアを破棄する必要があることを意味します。そのような方法では、情報の複製が不可能になるか、(人員、リソース、および時間の点で) かなりの費用がかかる場合にのみ可能になります。
注記この規格は、データ キャリアが異なる物理的特性を持ち、さまざまな機密レベルの情報を含むことを考慮に入れています。
1 スコープ
この規格は、データ キャリアの破棄に関する用語と原則を定義しています。
2 用語と定義
このドキュメントでは、次の用語と定義が適用されます。
2.1
収集場所
データキャリアが破壊される前に保管される場所
2.2
データ
人間または自動手段による伝達、解釈、または処理に適した、形式化された方法での事実、概念、または指示の表現
[出典:EN14968:2006-11]
2.3
データキャリア
データを含むオブジェクトまたはアイテム
注記 1:典型的なデータ キャリアには、紙または電子、磁気、および光学記憶媒体が含まれます。
2.4
データ管理者
<データキャリアの破壊> データを収集、処理、または使用する個人または団体
2.5
破壊
<データキャリアの破壊> データキャリアの形態または状態が変化するプロセス。通常は、細断、溶解、溶融、加熱、または燃焼によって行われます。
2.6
データキャリアの破壊
通常、細断、溶解、溶融、加熱、または燃焼によってデータ キャリアの形状または状態が変化し、情報の回復が困難または不可能になるプロセス。
2.7
溶解
データキャリアをサスペンションに変換
2.8
装置
データキャリアを破壊する目的で、空間的および機能的にリンクされた機械の集まり
2.9
情報
意味のあるデータ
[出典:ISO 9000:2005-12]
2.10
侵入者警報システム
監視対象施設への侵入者の存在、侵入、または侵入の試みを検出して示す警報システム
[出典:EN 50131:2010-02]
2.11
外部委託データ処理
割り当てられた第三者によるデータの収集、処理、および使用
注記 1:データキャリアの破壊も、アウトソーシングされたデータ処理の一形態です。
2.12
個人データ
識別された、または識別可能な自然人の個人的または物質的な状況の詳細
2.13
保護クラス
データの保護要件の分類
2.14
保護要件
機密性、完全性、および可用性の基本原則の違反から保護する必要性を説明するデータおよび情報のプロパティ。そのような違反から生じる損害を考慮に入れる
注記1保護要件は、通常、高、または非常に高に分類されます。
注記2データキャリアの破壊については、データキャリアに含まれるデータの保護要件が高いほど、保護クラスが高くなります。
2.15
通常の粒子
使用される切断プロセスの結果として、特定の長さと幅だけでなく、一般に変更不可能な、ほとんどが長方形の形状を持つ粒子。
2.16
セキュリティレベル
<データキャリアの破壊> 情報を回復するために必要な労力の分類
2.17
セキュリティ ゾーン
保護クラスに従って保護される領域
参考文献
| [1] | EN 14968, 地下水データ交換のセマンティクス |
| [2] | EN 50131, 警報システム - 侵入および強盗システム |
| [3] | ISO 9000, 品質管理システム — 基礎と語彙 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular the different approval criteria needed for the different types of document should be noted (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following URL: www.iso.org/iso/foreword.html .
This document was prepared by DIN, German Institute for Standardization (as national standard DIN 66399-1) and drafted in accordance with its editorial rules. It was assigned to Joint Technical Committee ISO/IEC JTC 1, Information technology,and adopted under the “fast-track procedure”.
A list of all parts in the ISO/IEC 21964 series can be found on the ISO website.
Introduction
Anyone who processes confidential, personal and/or sensitive data for themselves or on behalf of others must ensure that data carriers containing such information are safely destroyed in a way that ensures privacy.
In this context, safely destroyed means that data carriers containing sensitive data must be destroyed in such a way that reproduction of the information on them is either impossible or is only possible with considerable expenditure (in terms of personnel, resources and time).
NOTE This standard takes into account that data carriers have different physical characteristics and contain information with various levels of sensitivity.
1 Scope
This standard defines terms and principles for the destruction of data carriers.
2 Terms and definitions
For the purposes of this document, the following terms and definitions apply:
2.1
collection point
place where data carriers are kept before they are destroyed
2.2
data
representation of facts, concepts, or instructions in a formalized manner, suitable for communication, interpretation, or processing by humans or by automatic means
[SOURCE: EN 14968:2006-11]
2.3
data carrier
object or item that contains data
Note 1 to entry: Typical data carriers include paper or electronic, magnetic and optical storage media.
2.4
data controller
<destruction of data carriers> any person or body which collects, processes or uses data for itself or assigns others to do so
2.5
destruction
<destruction of data carriers> process in which the form or condition of data carriers is changed, usually by shredding, dissolving, melting, heating or burning
2.6
destruction of data carriers
process by which the form or condition of data carriers is changed, usually by shredding, dissolving, melting, heating or burning, making it difficult or impossible to recover the information
2.7
dissolving
transforming the data carrier to a suspension
2.8
equipment
collection of spatially and functionally linked machinery for the purpose of destroying data carriers
2.9
information
meaningful data
[SOURCE: ISO 9000:2005-12]
2.10
intruder alarm system
alarm system to detect and indicate the presence, entry or attempted entry of an intruder into supervised premises
[SOURCE: EN 50131:2010-02]
2.11
outsourced data processing
collection, processing and use of data by assigned third parties
Note 1 to entry: The destruction of data carriers is also a form of outsourced data processing.
2.12
personal data
details of the personal or material circumstances of an identified or identifiable natural person
2.13
protection class
classification of the protection requirement of data
2.14
protection requirement
property of data and information which describes the need to protect it from violation of the basic principles of confidentiality, integrity and availability, taking into account the harm which would arise from such a violation
Note 1 to entry: The protection requirement is classified as normal, high or very high.
Note 2 to entry: For the destruction of data carriers, the higher the protection requirement of the data they contain, the higher the protection class.
2.15
regular particles
particles which, as a result of the cutting process used, have a generally unalterable, mostly rectangular shape, as well as a specified length and width
2.16
security level
<destruction of data carriers> classification of the effort needed to recover information
2.17
security zone
area protected according to the protection class
Bibliography
| [1] | EN 14968, Semantics for groundwater data interchange |
| [2] | EN 50131, Alarm systems - Intrusion and hold-up systems |
| [3] | ISO 9000, Quality management systems — Fundamentals and vocabulary |