この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives or www.iec.ch/members_experts/refdocs を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序論および/または受信した特許宣言の ISO リスト ( www.iso.org/patents を参照) または受信した特許宣言の IEC リスト ( https://patents.iec.ch )
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則に対する ISO の遵守に関する情報については、 www を参照してください。 .iso.org/iso/foreword.html . IEC については、 www.iec.ch/understanding-standards を参照してください。
この文書は、合同技術委員会 JTC 1, 情報技術、小委員会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
序章
個人を特定できる情報 (PII) を処理する組織の情報セキュリティ リスク管理とプライバシー リスク管理の違いに関心が高まり、対処する必要があります。情報セキュリティ リスク管理および関連するリスク評価は、従来、組織に対するリスクに焦点を当ててきました。多くの場合、リスク = 影響 x 可能性という広く受け入れられている公式が使用されます。組織は、さまざまな方法を使用して、影響と可能性を評価およびランク付けし、リスク軽減の優先順位付けに使用できる組織リスクの値 (定性的または定量的) を決定できます。
逆に、プライバシー評価は、プライバシー影響評価を通じて特定されたものなど、主に個人への影響に焦点を当ててきました。プライバシー評価は個人のプライバシーへの影響を優先する場合がありますが、それでもなお、そのような個人へのプライバシーの影響が組織全体のリスクにどのように寄与するかを考慮する必要があります。そうすることで、組織は信頼を築き、技術的および組織的な対策を実施し、コミュニケーションを改善し、法的義務の遵守をサポートしながら、評判、収益、および将来の成長見通しへの悪影響を回避することができます。プライバシー イベントは、PII プリンシパルに悪影響がなくても、組織に影響を与える可能性があります。
このドキュメントは、組織のプライバシー リスクを評価するためのフレームワークを提供し、個人に対するプライバシーの影響を組織のリスク全体の構成要素として考慮します。 ISO 31000:2018 のガイドラインを拡張して、組織のプライバシー リスクに関する特定の考慮事項を含め、プライバシー情報管理システム (ISO/IEC 27701 など) で要求されるリスク管理の要件をサポートします。
この文書は、ISO 31000:2018 に関連して使用されることを意図しています。このドキュメントが ISO 31000:2018 で与えられたガイダンスを拡張する場合は常に、ISO 31000:2018 の条項への適切な参照が行われ、その後にプライバシー固有のガイダンスが続きます。 ISO 31000:2018 の条項構造は、このドキュメントに反映されており、必要に応じてサブ条項によって修正されています。
1 スコープ
このドキュメントは、ISO 31000:2018 から拡張された、組織のプライバシー リスク管理のガイドラインを提供します。
このドキュメントは、組織のプライバシー リスク管理プログラムの一環として、個人を特定できる情報 (PII) の処理に関連するリスクを組織に統合するためのガイダンスを提供します。 PII の処理が個人に及ぼす影響と、組織への影響 (風評被害など) を区別します。また、組織全体のリスク評価に以下を組み込むためのガイダンスも提供します。
- プライバシーが個人に与える悪影響が組織に与える影響。他の
- 個人にプライバシーへの悪影響を与えることなく、組織に損害を与える (例えば、その評判を傷つけることにより) プライバシー イベントの組織への影響。
このドキュメントは、組織の全体的なリスク管理に統合できるリスクベースのプライバシー プログラムの実装を支援します。
このドキュメントは、PII を処理する、または PII を処理するために使用できる製品やサービスを開発する、あらゆる種類と規模の組織 (公的および私的企業、政府機関、非営利組織など) に適用されます。
2 規範的な参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO 31000:2018, リスク管理 — ガイドライン
- ISO/IEC 29100, 情報技術 - セキュリティ技術 - プライバシー フレームワーク
- ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙
3 用語と定義
このドキュメントの目的のために、ISO 31000, ISO/IEC 29100, および ISO/IEC 27000 に記載されている用語と定義、および以下が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
プライバシー情報管理システム
PIM
個人を特定できる情報 (PII) の処理によって影響を受ける可能性のあるプライバシーの保護に対処する情報セキュリティ管理システム
[出典:ISO/IEC 27701:2019, 3.2 を修正 — 「PII」という略語は「個人を特定できる情報」として拡張されています。]
3.2
プライバシー イベント
プライバシーへの影響 (3.3) または結果を引き起こす可能性のある、個人を特定できる情報 (PII) の処理に関連する特定の一連の状況の発生または変化
3.3
プライバシーへの影響
個人を特定できる情報 (PII) プリンシパルおよび/または PII プリンシパルのグループのプライバシーに影響を与える要素
注記 1:プライバシーへの影響は、プライバシー保護要件に準拠した、または違反した PII の処理に起因する可能性があります。
[出典:ISO/IEC 29134:2017, 3.6, 修正 — 「要素」に置き換えられた「何でも」。]
3.4
その結果
組織の目標に影響を与えるイベントの結果
[SOURCE:ISO 31000:2018, 3.6, modified — “organizational”が追加され、エントリへの注記が削除された]
参考文献
| [1] | ISO/IEC 27701, セキュリティ技術 — プライバシー情報管理のための ISO/IEC 27001 および ISO/IEC 27002 への拡張 — 要件とガイドライン |
| [2] | ISO/IEC 29134, 情報技術 — セキュリティ技術 — プライバシー影響評価のガイドライン |
| [3] | ISO/IEC 19944-1, クラウドコンピューティングと分散型プラットフォーム - データフロー、データカテゴリとデータ利用 - 1: 基礎 |
| [4] | ISO/IEC 27005, 情報セキュリティ、サイバーセキュリティ、およびプライバシー保護 — 情報セキュリティ リスクの管理に関するガイダンス |
| [5] | ISO/IEC TR 27550, 情報技術 - セキュリティ技術 - システム ライフ サイクル プロセスのためのプライバシー エンジニアリング |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see https://patents.iec.ch ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .
This document was prepared by Joint Technical Committee JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
Introduction
There is a growing interest in and need to address the differences between information security risk management and privacy risk management for organizations processing personally identifiable information (PII). Information security risk management and related risk assessments have traditionally focused on risk to an organization, often using the widely accepted formula of risk = impact x likelihood. Organizations can use various methods to assess and rank impacts and likelihood, and then determine a value (qualitative or quantitative) for organizational risk that can be used to prioritize risk mitigation.
Conversely, privacy assessments have primarily been focused on impacts on individuals, such as those identified through a privacy impact assessment. Although privacy assessments may prioritize the impacts on an individual’s privacy, it is nonetheless necessary to consider how such privacy impacts on an individual can contribute to overall organizational risk. Doing so can help organizations build trust, implement technical and organisational measures, improve communication and support compliance with legal obligations, while avoiding negative impacts to reputation, bottom lines, and future prospects for growth. Privacy events may have consequences for the organization, even in the absence of adverse impacts on PII principals.
This document offers a framework for assessing organizational privacy risk, with consideration of the privacy impact on individuals as a component of overall organizational risk. It extends the guidelines of ISO 31000:2018 to include specific considerations for organizational privacy risk and supports the requirement for risk management as required by privacy information management systems (such as ISO/IEC 27701).
This document is intended to be used in connection with ISO 31000:2018. Whenever this document extends the guidance given in ISO 31000:2018, an appropriate reference to the clauses of ISO 31000:2018 is made followed by privacy-specific guidance. The clause structure of ISO 31000:2018 is mirrored in this document and amended by sub-clauses if needed.
1 Scope
This document provides guidelines for organizational privacy risk management, extended from ISO 31000:2018.
This document provides guidance to organizations for integrating risks related to the processing of personally identifiable information (PII) as part of an organizational privacy risk management programme. It distinguishes between the impact that processing PII can have on an individual with consequences for organizations (e.g. reputational damage). It also provides guidance for incorporating the following into the overall organizational risk assessment:
- organizational consequences of adverse privacy impacts on individuals; and
- organizational consequences of privacy events that damage the organization (e.g. by harming its reputation) without causing any adverse privacy impacts to individuals.
This document assists in the implementation of a risk-based privacy program which can be integrated in the overall risk management of the organization.
This document is applicable to all types and sizes of organizations processing PII or developing products and services that can be used to process PII, including public and private companies, government entities, and non-profit organizations.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 31000:2018, Risk management — Guidelines
- ISO/IEC 29100, Information technology — Security techniques — Privacy framework
- ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 31000, ISO/IEC 29100 and ISO/IEC 27000 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
privacy information management system
PIMS
information security management system which addresses the protection of privacy as potentially affected by the processing of personally identifiable information (PII)
[SOURCE:ISO/IEC 27701:2019, 3.2 modified — the abbreviated term"PII" is expanded as"personally identifiable information".]
3.2
privacy event
occurrence or change of a particular set of circumstances related to personally identifiable information (PII) processing that can cause a privacy impact (3.3) or consequence
3.3
privacy impact
element that has an effect on the privacy of a personally identifiable information (PII) principal and/or group of PII principals
Note 1 to entry: The privacy impact could result from the processing of PII in conformance or in violation of privacy safeguarding requirements.
[SOURCE:ISO/IEC 29134:2017, 3.6, modified —"anything" replaced by"element".]
3.4
consequence
outcome of an event affecting organizational objectives
[SOURCE:ISO 31000:2018, 3.6, modified — “organizational” added and notes to entry removed]
Bibliography
| [1] | ISO/IEC 27701, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines |
| [2] | ISO/IEC 29134, Information technology — Security techniques — Guidelines for privacy impact assessment |
| [3] | ISO/IEC 19944-1, Cloud computing and distributed platforms ─ Data flow, data categories and data use — 1: Fundamentals |
| [4] | ISO/IEC 27005, Information security, cybersecurity and privacy protection — Guidance on managing information security risks |
| [5] | ISO/IEC/TR 27550, Information technology — Security techniques — Privacy engineering for system life cycle processes |