この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
このドキュメントの目的のために、ISO/IEC 29100 で指定されている用語と定義、および以下が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
個人を特定できる情報のクラスター
PII のクラスター
一貫した機能目的のために処理される個人を特定できる情報
注記1: PIIのクラスターは、データオブジェクトの技術的表現とは独立して記述されます。通常、PII のクラスターには、電子的に保存されていない PII も含まれます。
3.2
データ オブジェクト
個人を特定できる情報 (PII) を含む要素
例:
要素の例には、ファイル、ドキュメント、レコード、または属性が含まれます。具体的なデータ オブジェクトには、請求書、契約書、個人ファイル、訪問者リスト、人事計画シート、写真、音声録音、ユーザー アカウント、ログ エントリ、同意文書などがあります。
注記 1:このドキュメントのコンテキストでは、データ オブジェクトには通常 PII が含まれており 、PII (3.1) のクラスター内の 他のデータ オブジェクトと組み合わせることができます。個々のデータ オブジェクトの複雑さはさまざまです。
3.3
消す
個人を特定できる情報 (PII) を変更して、もはや存在しないか、認識できず、使用できなくなり、過度の努力によってのみ再構築できるようにするプロセス
注記 1:この文書では、削除という用語は、廃棄メカニズム、消去、破棄、データ記憶媒体の破棄という同義語を持っています。
注記 2:このドキュメントでは、削除という用語は、単にデータを非表示にするためにマークまたは移動するのではなく、ビット パターンまたは同等のプラクティスの削除を指します。その結果、利用可能な最新技術、人的および技術的リソース、コスト、時間など、使用される可能性のあるすべての手段を考慮すると、PII の再構築には過度の労力が必要になります。
注記 3:削除方法を選択するには、PII の機密性やフォレンジック ツールの使用の可能性など、リスクに基づくアプローチを考慮する必要があります。必要な対策は、最新技術やその他の要因に応じて、時間の経過とともに変化する可能性があります。
注記 4: PII は、不可逆的な匿名化技術を適用することによっても変更できます。このようなデータは、多くの場合、プライバシー法の範囲外です。匿名化技術に関する詳細なガイダンスは、ISO/IEC 20889:2018 の条項 11 に記載されています。
3.4
削除クラス
標準削除期間 (3.7) と期間実行の抽象的な開始点の組み合わせ
注記 1同じ 削除期間 (3.6) と同じ抽象的な開始点の対象となる個人を特定できる情報 (PII) のすべてのクラスターは、削除クラスにまとめられます。 PII (3.1) のクラスター に対する (特定の) 削除規則 (3.5) とは対照的に、(抽象) 削除クラスは抽象的な開始点のみに関連し、期間実行の開始の特定の条件には関連しません (以下も参照)条項8)。
3.5
削除ルール
削除期間 (3.6) と期間実行の開始点の特定の条件の組み合わせ
3.6
削除期間
個人を特定できる情報 (PII) (3.1) の特定のクラスター が削除されるまでの期間
注記 1一般的な用語として、削除期間にはすべての削除期間が含まれます。これには、特別なグループを形成する 標準の削除期間 (3.7) と 通常の削除期間 (3.8) が含まれます。ただし、この用語には、たとえば、PII の一部のクラスターの特定の削除期間や、特別な場合の削除期間も含まれます。詳細については、条項 7 を参照してください。
注記 2: PII のクラスターの削除期間は、関連する データ オブジェクト (3.2) の削除を達成するために必要な時間に少なくとも相当する量によって、 保持期間 (3.9) の終了を超えて延長されます。
3.7
デフォルトの削除期間
個人を特定できる情報 (PII) 管理者の統一された削除期間
注記 1:標準削除期間は、 PII (3.1) のいくつかのクラスターに 使用される 削除期間 (3.6) であり、互いに近いいくつかの削除期間を標準化するために使用されます (7.1 を参照)
3.8
定期削除期間
個人を特定できる情報 (PII) (3.1) のクラスターの データ オブジェクト (3.2) が、PII コントローラーのプロセスで通常の処理で使用される場合に削除されるまでの最大期間。
注記1周期仕様の境界条件については5.4参照。
3.9
保存期間
個人を特定できる情報 (PII) (3.1) のクラスターの データ オブジェクト (3.2) が、機能的使用または法的保持義務のために、PII 管理者の組織で利用可能である必要がある期間。
注記 1: PII の特定のクラスターは、通常、同じ保持期間を持ちます。
注記2期間仕様の境界条件については,5.4及び7節を参照。
3.10
法定保存期間
個人を特定できる情報 (PII) (3.1) のクラスターの データ オブジェクト (3.2) が、法的規定によって要求されるように、PII 管理者の組織で利用できる期間。
参考文献
| [1] | ISO/IEC 20889:2018, プライバシー強化データ匿名化の用語と技術の分類 |
| [2] | NIST SP 800-88, メディアのサニタイズに関するガイドライン |
| [3] | 2016 年 4 月 27 日の欧州議会および理事会の規則 (EU) 2016/679 (一般データ保護規則) |
| [4] | CSEC, 2017 年、IT メディアのサニタイズ - ITSP.40.006 V2 |
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 29100 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
cluster of personally identifiable information
cluster of PII
personally identifiable information which is processed for a consistent functional purpose
Note 1 to entry: Clusters of PII are described independently of the technical representation of data objects. On a regular basis, the clusters of PII also include PII which is not stored electronically.
3.2
data object
element which contains personally identifiable information (PII)
EXAMPLE:
Examples of elements include files, documents, records or attributes. Concrete data objects include, for example, invoices, contracts, personal files, visitor lists, personnel planning sheets, photos, voice recordings, user accounts, log entries and consent documents.
Note 1 to entry: In the context of this document, data objects usually contain PII and can be combined with other data objects in a cluster of PII (3.1) . The individual data object can be of varying complexity.
3.3
deletion
process by which personally identifiable information (PII) is changed so that it is no longer present or recognizable and usable and can only be reconstructed with excessive effort
Note 1 to entry: In this document the term deletion has the following synonyms: disposition mechanism, erasure, destruction, destruction of data storage media.
Note 2 to entry: In this document the term deletion refers to the elimination of the bit patterns or comparable practices, not simply marking or moving the data to be hidden. As a result, excessive effort for PII reconstruction is required, considering all the means likely to be used, e.g. available state-of-the-art technology, human and technical resources, costs and time.
Note 3 to entry: For selecting the methods for deletion, a risk-based approach should be taken into account, including sensitivity of PII and potential use of forensic tools. Required measures can change over time depending on the state of the art of technology and other factors.
Note 4 to entry: PII can be also changed by applying an irreversible de-identification technique. Such data often fall out of the scope of privacy legislation. Further guidance on a de-identification technique can be found in ISO/IEC 20889:2018, Clause 11.
3.4
deletion class
combination of a standard deletion period (3.7) and an abstract starting point for the period run
Note 1 to entry: All clusters of personally identifiable information (PII) which are subject to the same deletion period (3.6) and the same abstract starting point are combined in a deletion class. As opposed to the (specific) deletion rule (3.5) for a cluster of PII (3.1) , the (abstract) deletion class relates only to the abstract starting point and not to a specific condition for the start of the period run (see also Clause 8).
3.5
deletion rule
combination of deletion period (3.6) and specific condition for the starting point of the period run
3.6
deletion period
time period after which a specific cluster of personally identifiable information (PII) (3.1) should be deleted
Note 1 to entry: As a generic term, the deletion period comprises all deletion periods. This includes the standard deletion periods (3.7) and the regular deletion periods (3.8) , which form special groups. However, the term also includes, for instance, the specific deletion periods for some clusters of PII or deletion periods in special cases. For details, see Clause 7.
Note 2 to entry: The deletion period for a cluster of PII extends beyond the end of the retention period (3.9) , by at least an amount commensurate with the time required to achieve deletion of the relevant data objects (3.2) .
3.7
standard deletion period
unified deletion period for the personally identifiable information (PII) controller
Note 1 to entry: A standard deletion period is a deletion period (3.6) used for several clusters of PII (3.1) to standardize several deletion periods lying close to one another (see 7.1).
3.8
regular deletion period
maximum time period after which the data objects (3.2) of a cluster of personally identifiable information (PII) (3.1) should be deleted if used in regular processing in the processes of the PII controller
Note 1 to entry: For the boundary conditions of period specifications, see 5.4.
3.9
retention period
time period within which the data objects (3.2) of the cluster of personally identifiable information (PII) (3.1) are required to be available in the PII controller’s organization because of functional use or legal retention obligations
Note 1 to entry: A specific cluster of PII typically has the same retention period.
Note 2 to entry: For the boundary conditions of period specifications, see 5.4 and Clause 7.
3.10
legal retention period
time period within which the data objects (3.2) of a cluster of personally identifiable information (PII) (3.1) are available in the PII controller’s organization as required by legal provisions
Bibliography
| [1] | ISO/IEC 20889:2018, Privacy enhancing data de-identification terminology and classification of techniques |
| [2] | NIST SP 800-88, Guidelines for Media Sanitization |
| [3] | Regulation (EU) 2016/679 of the European parliament and of the Council, 27 April 2016 (General Data Protection Regulation) |
| [4] | CSEC, 2017, IT Media Sanitization - ITSP.40.006 V2 |