この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
多くの機能プロセスと IT アプリケーションは、個人を特定できる情報 (PII) を使用します。これは、プライバシーに関するさまざまなコンプライアンス規定の対象となります。したがって、組織は、PII が必要以上に長く保持されないようにし、適切な時期に削除されるようにする必要があります。これにより、組織は、消去を取得する (忘れられる) 権利など、PII プリンシパルの権利を履行することが必要になる場合があります。 ISO/IEC 29100 は、PII の「データの最小化」と「使用、保持、および開示の制限」の原則を定義しており、セキュリティ管理として削除を使用して実施できます。
PII の削除には、複数の利害関係者の要求を満たす適切な保持期間を具現化する、慎重に設計された、明確で理解しやすい一連の削除ルールが必要です。これらの規則は、行動規範やその他の基準に由来する要件にも準拠する必要があります。メカニズムは正しく実装され、適切に運用されなければなりません。法に準拠した PII の削除を保証するために、PII 管理者は、関連するプロセスの一連の規則と責任を含む削除のポリシーと手順を策定する必要があります。これらのポリシーとプロセスの開発と実装の成功の可能性は、PII 管理者がそれらの設計と実装に認められたアプローチを使用する場合に改善できます。
このドキュメントは、組織が実装できる PII 削除のポリシーと手順を開発および確立するためのフレームワークを提供します。このフレームワークにより、組織全体で一貫した PII の削除が可能になります。
Introduction
Many functional processes and IT applications use personally identifiable information (PII), which is subject to various compliance provisions relating to privacy. Thus, organizations need to ensure that PII is not retained for longer than is necessary and that it is deleted at the appropriate time. This can require organizations to fulfil the rights of PII principals, such as the right to obtain erasure (to be forgotten). ISO/IEC 29100 defines principles of “data minimization” and “use, retention and disclosure limitation” for PII, which can be enforced using deletion as a security control.
PII deletion requires a set of carefully designed, clear and easily understood deletion rules, embodying appropriate retention periods that satisfy the demands of multiple stakeholders. These rules should also conform with requirements originating from codes of practice and other standards. Mechanisms are to be correctly implemented and appropriately operated. In order to ensure the legally compliant deletion of PII, the PII controller needs to develop policies and procedures for deletion that include a set of rules and responsibilities for the processes involved. The chances of success for the development and implementation of these policies and processes can be improved if the PII controller uses a recognized approach to their design and implementation.
This document provides a framework for developing and establishing policies and procedures for PII deletion that can be implemented by an organization. This framework allows for consistent deletion of PII throughout an organization.