この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
導入
この文書は、情報通信技術 (ICT) システム内で個人を特定できる情報 (PII) を保護するための高レベルのフレームワークを提供します。これは本質的に一般的なものであり、全体的なプライバシー フレームワークに組織的、技術的、および手続き的な側面を置きます。
プライバシー フレームワークは、組織が以下の方法で ICT 環境内の PII に関連するプライバシー保護要件を定義できるようにすることを目的としています。
- 一般的なプライバシー用語を指定する。
- PII の処理におけるアクターとその役割を定義する。
- プライバシー保護要件の説明。そして
- 既知のプライバシー原則への言及。
PII を処理する情報通信技術の数が増加しているため、PII の保護について共通の理解を提供する国際的な情報セキュリティ標準を確立することが重要です。この文書は、PII の処理に関連する焦点を追加することにより、既存のセキュリティ標準を強化することを目的としています。
PII の商業利用とその価値の増加、管轄区域を越えた PII の共有、および ICT システムの複雑さの増大により、組織がプライバシーを確保し、適用されるさまざまな法律を遵守することが困難になる可能性があります。プライバシー関係者は、プライバシー問題を適切に処理し、PII の悪用を回避することで、不確実性や不信感が生じるのを防ぐことができます。
この文書を使用すると、次のことが行われます。
- PII を処理および保護する ICT システムの設計、実装、運用、保守を支援します。
- ICT システム内で PII の保護を可能にする革新的なソリューションを推進します。そして
- ベスト プラクティスを使用して組織のプライバシー プログラムを改善します。
この文書内で提供されるプライバシー フレームワークは、次のような追加のプライバシー標準化イニシアチブの基礎として機能できます。
- 技術的な参照アーキテクチャ。
- 特定のプライバシー技術の実装と使用、および全体的なプライバシー管理。
- 外部委託されたデータ処理のプライバシー管理。
- プライバシーのリスク評価。または
- 特定のエンジニアリング仕様。
Introduction
This document provides a high-level framework for the protection of personally identifiable information (PII) within information and communication technology (ICT) systems. It is general in nature and places organizational, technical, and procedural aspects in an overall privacy framework.
The privacy framework is intended to help organizations define their privacy safeguarding requirements related to PII within an ICT environment by:
- specifying a common privacy terminology;
- defining the actors and their roles in processing PII;
- describing privacy safeguarding requirements; and
- referencing known privacy principles.
Due to the increasing number of information and communication technologies that process PII, it is important to have international information security standards that provide a common understanding for the protection of PII. This document is intended to enhance existing security standards by adding a focus relevant to the processing of PII.
The increasing commercial use and value of PII, the sharing of PII across jurisdictions, and the growing complexity of ICT systems, can make it difficult for an organization to ensure privacy and to achieve compliance with the various applicable laws. Privacy stakeholders can prevent uncertainty and distrust from arising by handling privacy matters properly and avoiding cases of PII misuse.
Use of this document will:
- aid in the design, implementation, operation, and maintenance of ICT systems that handle and protect PII;
- spur innovative solutions to enable the protection of PII within ICT systems; and
- improve organizations’ privacy programs through the use of best practices.
The privacy framework provided within this document can serve as a basis for additional privacy standardization initiatives, such as for:
- a technical reference architecture;
- the implementation and use of specific privacy technologies and overall privacy management;
- privacy controls for outsourced data processes;
- privacy risk assessments; or
- specific engineering specifications.