※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
この国際規格は、情報通信技術 (ICT) システム内の個人を特定できる情報 (PII) を保護するための高レベルのフレームワークを提供します。それは本質的に一般的であり、全体的なプライバシー フレームワークに組織的、技術的、および手続き的な側面を配置します。
プライバシー フレームワークは、組織が ICT 環境内の PII に関連するプライバシー保護要件を次のように定義するのを支援することを目的としています。
- 一般的なプライバシー用語を指定する。
- PII の処理におけるアクターとその役割を定義する。
- プライバシー保護要件の説明。他の
- 既知のプライバシー原則への言及。
一部の法域では、この国際規格のプライバシー保護要件への言及は、PII の保護に関する法的要件を補完するものとして理解される場合があります。 PII を処理する情報通信技術の数が増加しているため、PII の保護に関する共通の理解を提供する国際的な情報セキュリティ基準を設定することが重要です。この国際標準は、PII の処理に関連する焦点を追加することにより、既存のセキュリティ標準を強化することを目的としています。
PII の商用利用と価値の増大、法域を超えた PII の共有、および ICT システムの複雑化により、組織がプライバシーを確保し、適用されるさまざまな法律を遵守することが困難になる可能性があります。プライバシー関係者は、プライバシーの問題を適切に処理し、PII の誤用を回避することで、不確実性と不信感の発生を防ぐことができます。
この国際規格を使用すると、次のことが行われます。
- PII を処理および保護する ICT システムの設計、実装、運用、および保守を支援します。
- ICT システム内の PII の保護を可能にする革新的なソリューションを追跡します。他の
- ベスト プラクティスを使用して、組織のプライバシー プログラムを改善します。
この国際規格内で提供されるプライバシー フレームワークは、次のような追加のプライバシー標準化イニシアチブの基礎として機能します。
- テクニカル リファレンス アーキテクチャ。
- 特定のプライバシー技術の実装と使用、および全体的なプライバシー管理。
- 外部委託されたデータ プロセスのプライバシー管理。
- プライバシーリスク評価;また
- 特定のエンジニアリング仕様。
一部の法域では、ISO/IEC JTC 1/SC 27 WG 5 Standing Document 2 (WG 5 SD2) — Official Privacy DocumentsReferences [3] で参照されている 1 つまたは複数のドキュメント、またはその他の適用法および規制への準拠が必要になる場合がありますが、これは、国際規格は、グローバルなモデル ポリシーや法的枠組みを意図したものではありません。
Introduction
This International Standard provides a high-level framework for the protection of personally identifiable information (PII) within information and communication technology (ICT) systems. It is general in nature and places organizational, technical, and procedural aspects in an overall privacy framework.
The privacy framework is intended to help organizations define their privacy safeguarding requirements related to PII within an ICT environment by:
- specifying a common privacy terminology;
- defining the actors and their roles in processing PII;
- describing privacy safeguarding requirements; and
- referencing known privacy principles.
In some jurisdictions, this International Standard’s references to privacy safeguarding requirements might be understood as being complementary to legal requirements for the protection of PII. Due to the increasing number of information and communication technologies that process PII, it is important to have international information security standards that provide a common understanding for the protection of PII. This International Standard is intended to enhance existing security standards by adding a focus relevant to the processing of PII.
The increasing commercial use and value of PII, the sharing of PII across legal jurisdictions, and the growing complexity of ICT systems, can make it difficult for an organization to ensure privacy and to achieve compliance with the various applicable laws. Privacy stakeholders can prevent uncertainty and distrust from arising by handling privacy matters properly and avoiding cases of PII misuse.
Use of this International Standard will:
- aid in the design, implementation, operation, and maintenance of ICT systems that handle and protect PII;
- spur innovative solutions to enable the protection of PII within ICT systems; and
- improve organizations’ privacy programs through the use of best practices.
The privacy framework provided within this International Standard can serve as a basis for additional privacy standardization initiatives, such as for:
- a technical reference architecture;
- the implementation and use of specific privacy technologies and overall privacy management;
- privacy controls for outsourced data processes;
- privacy risk assessments; or
- specific engineering specifications.
Some jurisdictions might require compliance with one or more of the documents referenced in ISO/IEC JTC 1/SC 27 WG 5 Standing Document 2 (WG 5 SD2) — Official Privacy DocumentsReferences [3] or with other applicable laws and regulations, but this International Standard is not intended to be a global model policy, nor a legislative framework.