この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
プライバシー影響評価 (PIA) は、次の手段です。
- 個人を特定できる情報 (PII) を処理するプロセス、情報システム、プログラム、ソフトウェア モジュール、デバイス、またはその他の取り組みのプライバシーに対する潜在的な影響を評価する。
- プライバシーリスクに対処するために、利害関係者と協議して必要な措置を講じます。
PIA レポートには、リスク処理のために講じられた措置に関する文書を含めることができます。たとえば、ISO/IEC 27001 の情報セキュリティ管理システム (ISMS) の使用から生じる措置などです。PIA は単なるツールではなく、開始するプロセスです。イニシアチブの可能な限り初期の段階で、その結果に影響を与える機会がまだ残っており、それによって設計上のプライバシーが確保されます。これは、プロジェクトがデプロイされるまで、またはプロジェクトがデプロイされた後も継続するプロセスです。
イニシアチブの規模と影響は大きく異なります。 「プライバシー」に該当する目的は、文化、社会の期待、管轄によって異なります。この文書は、すべての取り組みに適用できる拡張性のあるガイダンスを提供することを目的としています。すべての状況に特有のガイダンスを規範とすることはできないため、この文書のガイダンスは個々の状況を考慮して解釈される必要があります。
PII 管理者は PIA を実施する責任を負い、PII 管理者に代わってこれを行うのを支援するよう PII 処理者に要求できます。 PII 処理者またはサプライヤーは、独自の PIA を実施したい場合もあります。
サプライヤーの PIA 情報は、デジタル接続されたデバイスが評価対象の情報システム、アプリケーション、またはプロセスの一部である場合に特に関連します。このようなデバイスのサプライヤーは、PIA を実施する企業にプライバシー関連の設計情報を提供する必要がある場合があります。デジタル デバイスのプロバイダーが PIA のスキルを持たず、PIA に対応するリソースを備えていない可能性があります。次に例を示します。
- 小規模小売店、または
- 通常の業務運営の過程でデジタル接続されたデバイスを使用する中小企業 (SME)
このような状況では、最小限の PIA 活動を実行できるようにするために、デバイスのサプライヤーは、大量のプライバシー情報を提供し、供給する機器に対して予想される PII 主体/SME コンテキストに関して独自の PIA を実行するよう求められる可能性があります。 。
PIA は通常、その責任を真剣に受け止め、PII 本人を適切に扱う組織によって実施されます。一部の管轄区域では、PIA に関する法的および規制上の要件が適用される場合があります。
この文書は、PII プリンシパルに対するプライバシーの影響にプロセス、情報システム、またはプログラムの考慮が含まれる場合に使用することを目的としています。
- プロセス、情報システム、またはプログラムの実装および/または提供に対する責任は他の組織と共有され、各組織が特定されたリスクに適切に対処することを保証する必要があります。
- 組織は、ISMS (ISO/IEC 27001 または同等の管理システムに従って確立された) の導入または改善の準備をしながら、全体的なリスク管理活動の一環としてプライバシー リスク管理を実行しています。または、組織が独立した機能としてプライバシー リスク管理を実行している。
- 組織 (例: 政府) が、将来の PII 管理組織がまだ不明なイニシアチブ (例: 官民パートナーシップ プログラム) に取り組んでおり、その結果、治療計画を直接実施することができず、したがって、治療計画が前提となっている。この治療計画は、対応する法律、規制、または契約の一部となること。
- 組織は、PII プリンシパルに対して責任を持って行動したいと考えています。
プライバシー影響分析プロセス中に特定されたリスクに対処するために必要とみなされる管理は、ISO/IEC 2700, または同等の国家標準を含む複数の管理セットから導き出すことができます。または、PIA の実施責任者が他のコントロール セットとは独立して定義することもできます。
Introduction
A privacy impact assessment (PIA) is an instrument for:
- assessing the potential impacts on privacy of a process, information system, programme, software module, device or other initiative which processes personally identifiable information (PII);
- taking necessary actions, in consultation with stakeholders, to treat privacy risk.
A PIA report can include documentation about measures taken for risk treatment, for example, measures arising from the use of the information security management system (ISMS) in ISO/IEC 27001. A PIA is more than a tool: it is a process that begins at the earliest possible stages of an initiative, when there are still opportunities to influence its outcome and thereby ensure privacy by design. It is a process that continues until, and even after, the project has been deployed.
Initiatives vary substantially in scale and impact. Objectives falling under the heading of “privacy” will depend on culture, societal expectations and jurisdiction. This document is intended to provide scalable guidance that can be applied to all initiatives. Since guidance specific to all circumstances cannot be prescriptive, the guidance in this document should be interpreted with respect to individual circumstances.
A PII controller can have a responsibility to conduct a PIA and can request a PII processor to assist in doing this, acting on the PII controller’s behalf. A PII processor or a supplier can also wish to conduct their own PIA.
A supplier's PIA information is especially relevant when digitally connected devices are part of the information system, application or process being assessed. It can be necessary for suppliers of such devices to provide privacy-relevant design information to those undertaking the PIA. It is possible that the provider of digital devices is unskilled in and not resourced for PIAs, for example:
- a small retailer, or
- a small and medium-sized enterprise (SME) using digitally connected devices in the course of its normal business operations.
In such circumstances, in order to enable it to undertake minimal PIA activity, the device supplier can be called upon to provide a great deal of privacy information and undertake its own PIA with respect to the expected PII principal/SME context for the equipment they supply.
A PIA is typically conducted by an organization that takes its responsibility seriously and treats PII principals adequately. In some jurisdictions, legal and regulatory requirements regarding PIA can apply.
This document is intended to be used when the privacy impact on PII principals includes consideration of processes, information systems or programmes, where:
- the responsibility for the implementation and/or delivery of the process, information system or programme is shared with other organizations and it should be ensured that each organization properly addresses the identified risks;
- an organization is performing privacy risk management as part of its overall risk management effort while preparing for the implementation or improvement of its ISMS (established in accordance with ISO/IEC 27001 or an equivalent management system); or an organization is performing privacy risk management as an independent function;
- an organization (e.g. government) is undertaking an initiative (e.g. a public-private-partnership programme) in which the future PII controller organization is not known yet, with the result that the treatment plan cannot be implemented directly and, therefore, it is presupposed that this treatment plan becomes part of corresponding legislation, regulation or the contract instead;
- the organization wants to act responsibly towards the PII principals.
Controls deemed necessary to treat the risks identified during the privacy impact analysis process can be derived from multiple sets of controls, including ISO/IEC 27002 (for security controls) and ISO/IEC 29151 (for PII protection controls), or comparable national standards, or they can be defined by the person responsible for conducting the PIA, independently of any other control set.