この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。
この文書の作成に使用された手順と、今後の維持を意図した手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序論および/または受信した特許宣言の ISO リスト ( www.iso.org/patents を参照) または受信した特許宣言の IEC リスト ( http://patents.iec.ch )
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報。
www.iso.org/iso/foreword.html を参照してください。
このドキュメントは、合同技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 38, クラウド コンピューティングおよび分散プラットフォームによって作成されました。
序章
クラウド コンピューティング エコシステムでデータを処理するために実施されているポリシーとプラクティスの多くは、それらが扱うデータのカテゴリに基づいて説明する必要があります。たとえば、個人を特定できる情報 (PII) は、セキュリティの観点からだけでなく、そのようなデータに関連するクラウド サービス ユーザーがそのようなデータの使用と転送を制御できるようにするメカニズムに関しても、特定のデータ管理要件を課します。クラウド サービスの使用状況情報やクラウド サービスからのテレメトリ データなどの組織データは、サービス品質の向上などの運用目的で使用できますが、特定のアプリケーションに役立つ特定の品質要件を満たす必要がある場合があります。
顧客のコンテンツ データは、知的財産権に関連している可能性があり、クラウド サービス プロバイダー (CSP) による適切な保護が必要になる場合があります。特定のデータは、ある法域から別の法域に転送できます。データのeに応じて、さまざまな手段 (多国籍法、企業拘束力のある規則、二国間協定) が適用され、そのような転送が可能になります。
このようなポリシーとプラクティスを説明する場合は、構造化された一貫した方法で説明すると、クラウド コンピューティング エコシステムの関係者がより適切に表現、評価、分析、比較できるようになります。 ISO/IEC 19944 は、国境を越えたデータ転送、データのジオロケーション、データの使用、アクセスとデータポータビリティ、データ品質管理とデータセキュリティ、またはデータガバナンスを含むデータ管理、および行動規範(CoC)内でのデータ処理ポリシーと慣行の記述方法に関するガイドラインを提供します。
このドキュメントでは、必要なデータ処理ポリシーとプラクティスを表現するための構造化された一般的なアプローチについて説明します。ポリシーとプラクティス自体は、このドキュメントの範囲外であることを強調することが重要です。このドキュメントでは、必要なデータ処理ポリシーとプラクティスを表現するための一般的な構造とアプローチについて説明します。ポリシーと慣行はこのドキュメントの範囲外であることを強調することが重要です。データ処理ドメインからの一連の例は、そのようなドメインへのポリシーの適用およびポリシー要件の分析に関する ISO/IEC 19944 の使用方法を理解するためのガイダンスとして、ドキュメントで提供されています。
1 スコープ
このドキュメント:
- ISO/IEC 19944 のデータ分類法に基づいて、クラウド コンピューティング環境におけるデータ関連のポリシーとプラクティスの構造化された表現のフレームワークについて説明します。
- データのサブカテゴリと分類に基づいてデータを処理するための分類法の適用に関するガイドラインを提供します。
- データ地理位置情報、国境を越えたデータの流れ、データ アクセスとデータの移植性、データの使用、データ管理、およびデータ ガバナンスを含むがこれらに限定されない、データ関連のポリシーと慣行の表現をカバーします。
- データへのリモートアクセスだけでなく、国境を越えたデータ転送を含む、保管中および転送中のデータに関する慣行の行動規範でフレームワークを使用する方法について説明します。
- ISO/IEC 19944 データ カテゴリに従って、データ処理の課題、つまり、データの制御、アクセス、および場所のユース ケースを提供します。
このドキュメントは、主にクラウド サービス プロバイダー、クラウド サービスの顧客 (CSC)、およびクラウド サービスのユーザーに適用されますが、クラウド サービスにおける分類法に基づくデータ管理の法律、ポリシー、技術、またはその他の影響に関与する個人または組織にも適用されます。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 17788, 情報技術 — クラウド コンピューティング — 概要と語彙
- ISO/IEC 19944, 情報技術 - クラウド コンピューティング - クラウド サービスとデバイス: データ フロー、データ カテゴリ、およびデータ使用
3 用語と定義
このドキュメントの目的のために、ISO/IEC 17788, ISO/IEC 19944 および以下に記載されている用語と定義が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
行動規範
CoC
顧客および/またはパートナーの成果と経験を向上させるために、組織間で合意された一連の行動
3.2
守秘義務
許可されていない個人、エンティティ、またはプロセスに情報が提供または開示されないという特性
[出典: ISO 24534-5:2011, 3.11]
3.3
威厳
適切な許可なしに、電子的に保存された情報を変更できないように設計されているという特性
3.4
可用性
認可されたエンティティからの要求に応じてアクセスおよび使用できるプロパティ
[出典: ISO 22600-1:2014, 3.7]
3.5
データアクセス
システムが別のシステムで発行されたデータを読み取ることができるプロセス
注記 1:このデータ アクセスはネットワーク接続を介して行われ、データは通常、接続が終了した後は保持されません。
3.6
データ転送
あるシステムから別のシステムへのデータのコピーまたは移動
3.7
データの位置情報
保存されているデータ オブジェクトの地理的位置
参考文献
| [1] | ISO/IEC 19941:2017, 情報技術 — クラウド コンピューティング — 相互運用性と移植性 |
| [2] | ISO/IEC 27001:2013, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| [3] | ISO/IEC 27017:2015, 情報技術 — セキュリティ技術 — クラウド サービス向けの ISO/IEC 27002 に基づく情報セキュリティ管理の実施基準 |
| [4] | ISO/IEC 27000:2018, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙 |
| [5] | ISO/IEC 38505-1:2017, 情報技術 — IT のガバナンス — データのガバナンス — 1: データのガバナンスへの ISO/IEC 38500 の適用 |
| [6] | ISO/IEC 38500:2015, 情報技術 — 組織のための IT のガバナンス |
| [7] | ISO/IEC TR 38505-2, 情報技術 — IT のガバナンス — データのガバナンス — 2: データ管理に対する ISO/IEC 38505-1 の影響 |
| [8] | BS 10010:2017, 情報の分類、マーキング、および取り扱い。仕様、https://shop.bsigroup.com/ProductDetail/?pid=000000000030330941 |
| [9] | 2016 年 4 月 27 日の欧州議会および理事会の規則 (EU) 2016/679 は、個人データの処理に関する自然人の保護およびそのようなデータの自由な移動に関するものであり、指令 95/46/EC を繰り返すものです。 (一般データ保護規則) (EEA 関連のテキスト)、avail. https://eur-lex.europa.eu/eli/reg/2016/679/2016-05-04 で |
| [10] | 欧州連合における非個人データの自由な流通の枠組みに関する 2018 年 11 月 14 日の欧州議会および理事会の規則 (EU) 2018/1807 (EEA 関連のテキスト。) 利用可能。 http://data.europa.eu/eli/reg/2018/1807/oj で |
| [11] | ISO 24534-5:2011, インテリジェント輸送システム - 自動車両および機器識別 - 車両の電子登録識別 (ERI) - 5: 対称技術を使用した安全な通信 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see http://patents.iec.ch ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT)
see www.iso.org/iso/foreword.html .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 38, Cloud Computing and Distributed Platforms.
Introduction
Many of the policies and practices in place for handling data in the cloud computing ecosystem need to be described based on the category of the data they address. For instance, personally identifiable information (PII) impose specific data management requirements not only in terms of security but also with regard to mechanisms that allow cloud service users to whom such data relate to exercise control on the usage and transfer of such data. Organisational data such as cloud service usage information and telemetry data from cloud services, which can be used for operational purposes such as improvement of service quality, may have to fulfil specific quality requirements to be useful for a given application.
Customer content data can be related to intellectual property rights and possibly needs appropriate protection by the cloud service provider (CSP). Certain data can be transferred from one jurisdiction to another. Depending on their data category, different instruments (multi-national laws, corporate binding rules, bilateral agreements) are applicable to enable such transfers.
When such policies and practices are to be described, it is helpful to do so in a structured and consistent way so that they can be better expressed, evaluated, analysed, and compared by the stakeholders in the cloud computing ecosystem. ISO/IEC 19944 provides a comprehensive taxonomy defining a fine-grained system of data categories that can be applied to various domains of policies for the handling of data in a cloud computing ecosystem such as cross border data transfer, data geolocation, data usage, data access and data portability, data management including data quality management and data security, or data governance, and provides guidelines on how to describe data handling policies and practices within codes of conduct (CoC).
This document describes such a structured and common approach to express any desired data handling policies and practices. It is important to emphasize that the policies and practices themselves are out of the scope of this document. This document describes a common structure and approach to express any desired data handling policies and practices. It is important to emphasize that the policies and practices are out of the scope of this document. A set of examples from data handling domains are provided in the document as guidance to understand how to use ISO/IEC 19944 regarding application of policies and analysis of policy requirements to such domains.
1 Scope
This document:
- describes a framework for the structured expression of data-related policies and practices in the cloud computing environment, based on the data taxonomy in ISO/IEC 19944;
- provides guidelines on application of the taxonomy for handling of data based on data subcategory and classification;
- covers expression of data-related policies and practices including, but not limited to data geolocation, cross border flow of data, data access and data portability, data use, data management, and data governance;
- describes how the framework can be used in codes of conduct for practices regarding data at rest and in transit, including cross border data transfer, as well as remote access to data;
- provides use cases for data handling challenges, i.e. control, access and location of data according to ISO/IEC 19944 data categories.
This document is applicable primarily to cloud service providers, cloud service customers (CSCs) and cloud service users, but also to any person or organization involved in legal, policy, technical or other implications of taxonomy-based data management in cloud services.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 17788, Information technology — Cloud computing — Overview and vocabulary
- ISO/IEC 19944, Information technology — Cloud computing — Cloud services and devices: Data flow, data categories and data use
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 17788, ISO/IEC 19944 and the following apply:
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
codes of conduct
CoC
agreed set of behaviours between organisations to enhance customer and/or partner outcomes and experiences
3.2
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or processes
[SOURCE: ISO 24534-5:2011, 3.11]
3.3
integrity
property of being designed such that any modification of the electronically stored information, without proper authorization, is not possible
3.4
availability
property of being accessible and useable upon demand by an authorized entity
[SOURCE: ISO 22600-1:2014, 3.7]
3.5
data access
process by which a system can read published data on another system
Note 1 to entry: This data access happens over a network connection and the data typically does not persist after the connection is terminated.
3.6
data transfer
copying or moving data from one system to another
3.7
data geolocation
geographic location of a data object at rest
Bibliography
| [1] | ISO/IEC 19941:2017, Information technology — Cloud computing — Interoperability and portability |
| [2] | ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements |
| [3] | ISO/IEC 27017:2015, Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services |
| [4] | ISO/IEC 27000:2018, Information technology — Security techniques — Information security management systems — Overview and vocabulary |
| [5] | ISO/IEC 38505-1:2017, Information technology — Governance of IT — Governance of data — 1: Application of ISO/IEC 38500 to the governance of data |
| [6] | ISO/IEC 38500:2015, Information technology — Governance of IT for the organization |
| [7] | ISO/IEC/TR 38505-2, Information technology — Governance of IT — Governance of data — 2: Implications of ISO/IEC 38505-1 for data management |
| [8] | BS 10010:2017, Information classification, marking and handling. Specification, https://shop.bsigroup.com/ProductDetail/?pid=000000000030330941 |
| [9] | Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance), avail. at https://eur-lex.europa.eu/eli/reg/2016/679/2016-05-04 |
| [10] | Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on a framework for the free flow of non-personal data in the European Union (Text with EEA relevance.) Avail. at http://data.europa.eu/eli/reg/2018/1807/oj |
| [11] | ISO 24534-5:2011, Intelligent transport systems — Automatic vehicle and equipment identification — Electronic Registration Identification (ERI) for vehicles — 5: Secure communications using symmetrical techniques |