この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
この文書の目的上、ISO/IEC 29100, ISO/IEC 27000, ISO Guide 73 および以下に記載されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
受諾書
リスクの所有権、リスクの処理、残留リスクに対する責任を負うための正式な経営宣言
3.2
資産
個人を特定できる情報 (PII) の処理に関わる人にとって価値のあるもの
注記 1:プライバシー・リスク管理プロセスの文脈では、資産は PII またはサポート資産のいずれかです。
3.3
評価者
プライバシー影響評価を主導および実施する人 (3.7)
注記 1:評価者は、チームの一員として 1 人以上の他の内部および/または外部の専門家からサポートされる場合があります。
注記 2:評価者は、組織の内部または外部の専門家である場合があります。
3.4
プロセス
入力を出力に変換する、相互に関連するまたは相互作用する一連のアクティビティ
[出典:ISO/IEC 27000:2018, 3.54]
3.5
デバイス
ユーザーがアクションを実行できるようにするハードウェアとソフトウェアの組み合わせ、またはソフトウェアのみ
3.6
プライバシーへの影響
PII 本人および/または PII 本人グループのプライバシーに影響を与えるものすべて
注記 1: プライバシーへの影響は、プライバシー保護要件に準拠した、または違反した PII の処理によって生じる可能性があります。
3.7
プライバシー影響評価
ぴあ
組織のより広範なリスク管理フレームワーク内で組み立てられた、個人を特定できる情報の処理に関する潜在的なプライバシーへの影響の特定、分析、評価、コンサルティング、伝達、および対処計画の全体的なプロセス。
[出典:ISO/IEC 29100:2011, 2.20, 修正 — エントリの注 1 が削除されました。]
3.8
プライバシーリスクマップ
特定されたプライバシー リスクの影響のレベルと可能性を示す図
注記 1:マップは通常、プライバシー・リスクを処理する順序を決定するために使用されます。
3.9
プログラム
個別に管理することでは得られない利点を得るために、調整された方法で管理されるプロジェクトのグループ
[出典:ISO 14300-1:2011, 3.2]
3.10
計画
時間、コスト、リソースの制約を含む特定の要件に準拠した目的を達成するために実施される、開始日と終了日が設定された一連の調整および制御された活動で構成される独自のプロセス。
[出典:ISO 9000:2015, 3.4.2]
3.11
組織
目的を達成するために、責任、権限、および関係を伴う独自の機能を持つ個人または人々のグループ
注記 1: 組織の概念には、法人か否か、公的か私的かを問わず、個人事業主、会社、株式会社、企業、企業、当局、パートナーシップ、慈善団体、団体、またはそれらの一部または組み合わせが含まれますが、これらに限定されません。
[出典:ISO/IEC 27000:2018, 3.50]
3.12
重大度
PII 本人のプライバシーに対する潜在的な影響の大きさの推定
3.13
システム
情報システム
アプリケーション、サービス、情報技術資産、またはその他の情報処理コンポーネントのセット
[出典:ISO/IEC 27000:2018, 3.36, 修正 - 「システム」が優先用語として追加されました。]
3.14
利害関係者
決定や活動に影響を与える可能性がある、影響を受ける、または影響を受けていると認識している個人または組織
グレード 1 からエントリーまで:個人を特定できる情報の本人、経営陣、規制当局、顧客が含まれます。
注記 2:プライバシー影響評価には利害関係者との協議が不可欠です。
[出典:ISO 37000:2021, 3.3.1, 修正 — エントリの注 1 と 2 が修正されました。]
3.15
テクノロジー
ハードウェア、ソフトウェア、およびファームウェアのシステムおよびシステム要素(情報技術、組み込みシステム、またはその他の電気機械またはプロセッサベースのシステムを含みますが、これらに限定されません)
[出典:ISO/IEC 16509:1999, 3.3]
参考文献
| 1 | ISO 772, 比重測定 - 語彙と記号 |
| 2 | ISO 9000:2015, 品質マネジメントシステム - 基礎と用語 |
| 3 | ISO 14300-1:2011, 宇宙システム — プログラム管理 — Part 1: プロジェクトの構造 |
| 4 | ISO/IEC 16509:1999, 情報技術 - 2000 年の用語 |
| 5 | ISO 21500, プロジェクト、プログラム、ポートフォリオ管理 — 背景と概念 |
| 6 | ISO 22307, 金融サービス - プライバシー影響評価 |
| 7 | ISO/IEC 27001:2022, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 - 情報セキュリティ管理システム - 要件 |
| 8 | ISO/IEC 27002, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティ管理 |
| 9 | ISO/IEC 29151, 情報技術 - セキュリティ技術 - 個人を特定できる情報の保護に関する実践規範 |
| 10 | IEC 31000, リスク管理 - リスク評価手法 |
| 11 | ISO 37000:2021, 組織のガバナンス — ガイダンス |
| 12 | NIST/SP 800-53, 連邦情報システムおよび組織のセキュリティとプライバシーの管理 |
| 13 | カナダ財務委員会事務局のプライバシー影響評価に関する指示、 https://www.tbs-sct.gc.ca/pol/doc-eng.aspx ?id=18308 で入手可能 |
| 14 | 「期待: カナダプライバシー委員会にプライバシー影響評価を提出するためのガイド」、https://publications.gc.ca/collections/collection_2011/priv/IP54-36-2011-eng.pdf |
| 15 | RFIDアプリケーションのための PIA フレームワーク、以下で入手可能: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp180_annex_en.pdf |
| 16 | ICO PIA ハンドブック バージョン 2.0, https://www.huntonprivacyblog.com/wp-content/uploads/sites/28/2013/09/PIAhandbookV2.pdf |
| 17 | 「プライバシー局公式ガイダンス – 2010 年 6 月」、米国国土安全保障省 – プライバシー局、https://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_guidance_june2010.pdf |
| 18 | PIA ガイドライン ドイツ BSI, https://www.bsi.bund.de/EN/Themen/Businesses-und-Organizations/Standards-und-Zertification/RFID/PIA/pia.html |
| 19 | タンコック |ピアソン |チャールズワース: プライバシー影響評価の出現、https://www.researchgate.net/publication/229046516_The_Emergence_of_Privacy_Impact_Assessments |
| 20 | D o DPプライバシー影響評価(PIA)ガイダンス、https://www.esd.whs.mil/portals/54/documents/dd/issuances/dodi/540016p.pdf |
| 21 | プライバシー影響評価、その適用と影響に関する国際研究 2007 年 10 月 Linden Consulting, Inc. |
| 22 | ライト D. プライバシー影響評価における最先端の技術。コンピュータ法律の安全性。 Rev. 2012 年 2 月、28, (1)、54 ~ 61 ページ。入手可能場所: https://www.sciencedirect.com/science/journal/02673649 |
| 23 | Finn R, Wright D, Friedewald M 7 種類のプライバシー。で: ヨーロッパのデータ保護: 成人期? (Gutwirth S, Leenes R, De Hert P 他編)スプリンガー、ドルドレヒト、2013 |
| 24 | ライト D, デ・ハート P, 編。プライバシー影響評価。スプリンガー、ドルドレヒト、2012 |
| 25 | ライト D プライバシー影響評価をより効果的にする。情報化社会2013, 2, 307–315 ページ。入手可能場所: https://iapp.org/media/pdf/knowledge_center/Making_PIA__more_Effective.pdf |
| 26 | プライバシー影響評価 (PIA)、CNIL, 2018 年、https://www.cnil.fr/en/privacy-impact-assessment-pia |
| 27 | 第 29 条データ保護作業部会、「クラウド コンピューティングに関する意見 05/2012」、01037/12/EN, WP 196, 2012 年 7 月 (Web 参照: https://ec.europa.eu/justice/data-protection/article- 29/documentation/opinion-recommendation/files/2012/wp196_en.pdf ) |
| 28 | ENISA レポート、「クラウド コンピューティングのリスク評価 - 情報セキュリティの利点、リスク、推奨事項」、2009 年 11 月 (Web 参照: https://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing ) -リスク評価 ) |
| 29 | 第 29 条 データ保護作業部会。データ保護影響評価 (DPIA) に関するガイドライン、および規制 2016/679 の目的で処理が「高リスクをもたらす可能性がある」かどうかを判断するためのガイドライン。 https://ec.europa.eu/newsroom/just/document.cfm?doc_id=47711 で入手可能 |
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 29100, ISO/IEC 27000, ISO Guide 73 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
acceptance statement
formal management declaration to assume responsibility for risk ownership, risk treatment and residual risk
3.2
asset
things that have value to anyone involved in the processing of personally identifiable information (PII)
Note 1 to entry: In the context of a privacy risk management process, an asset is either PII or a supporting asset.
3.3
assessor
person who leads and conducts a privacy impact assessment (3.7)
Note 1 to entry: The assessor may be supported by one or more other internal and/or external experts as part of their team.
Note 2 to entry: The assessor may be an expert internal or external to the organization.
3.4
process
set of interrelated or interacting activities which transforms inputs into outputs
[SOURCE:ISO/IEC 27000:2018, 3.54]
3.5
device
combination of hardware and software, or solely software, that allows a user to perform actions
3.6
privacy impact
anything that has an effect on the privacy of a PII principal and/or group of PII principals
Note 1 to entry: The privacy impact can result from the processing of PII in conformance or in violation of privacy safeguarding requirements.
3.7
privacy impact assessment
PIA
overall process of identifying, analysing, evaluating, consulting, communicating and planning the treatment of potential privacy impacts with regard to the processing of personally identifiable information, framed within an organization’s broader risk management framework
[SOURCE:ISO/IEC 29100:2011, 2.20, modified — Note 1 to entry has been deleted.]
3.8
privacy risk map
diagram that indicates the level of impact and likelihood of privacy risks identified
Note 1 to entry: The map is typically used to determine the order in which the privacy risks should be treated.
3.9
programme
group of projects managed in a coordinated way to obtain benefits not available from managing them individually
[SOURCE:ISO 14300-1:2011, 3.2]
3.10
project
unique process, consisting of a set of coordinated and controlled activities with start and finish dates, undertaken to achieve an objective conforming to specific requirements, including the constraints of time, cost and resources
[SOURCE:ISO 9000:2015, 3.4.2]
3.11
organization
person or group of people that has its own functions with responsibilities, authorities and relationships to achieve its objectives
Note 1 to entry: The concept of organization includes but is not limited to sole-trader, company, corporation, firm, enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not, public or private.
[SOURCE:ISO/IEC 27000:2018, 3.50]
3.12
severity
estimation of the magnitude of potential impacts on the privacy of a PII principal
3.13
system
information system
set of applications, services, information technology assets, or other information handling components
[SOURCE:ISO/IEC 27000:2018, 3.36, modified —"system" has been added as a preferred term.]
3.14
stakeholder
person or organization that can affect, be affected by, or perceive itself to be affected by a decision or activity
Note 1 to entry: Includes personally identifiable information principals, management, regulators and customers.
Note 2 to entry: Consultation with stakeholders is integral to a privacy impact assessment.
[SOURCE:ISO 37000:2021, 3.3.1, modified — Notes 1 and 2 to entry have been modified.]
3.15
technology
hardware, software, and firmware systems and system elements including, but not limited to, information technology, embedded systems, or any other electro-mechanical or processor-based systems
[SOURCE:ISO/IEC 16509:1999, 3.3]
Bibliography
| 1 | ISO 772, Hydrometry — Vocabulary and symbols |
| 2 | ISO 9000:2015, Quality management systems — Fundamentals and vocabulary |
| 3 | ISO 14300-1:2011, Space systems — Programme management — Part 1: Structuring of a project |
| 4 | ISO/IEC 16509:1999, Information technology — Year 2000 terminology |
| 5 | ISO 21500, Project, programme and portfolio management — Context and concepts |
| 6 | ISO 22307, Financial services — Privacy impact assessment |
| 7 | ISO/IEC 27001:2022, Information security, cybersecurity and privacy protection — Information security management systems — Requirements |
| 8 | ISO/IEC 27002, Information security, cybersecurity and privacy protection — Information security controls |
| 9 | ISO/IEC 29151, Information technology — Security techniques — Code of practice for personally identifiable information protection |
| 10 | IEC 31000, Risk management — Risk assessment techniques |
| 11 | ISO 37000:2021, Governance of organizations — Guidance |
| 12 | NIST/SP 800-53, Security and Privacy Controls for Federal Information Systems and Organizations |
| 13 | Treasury Board of Canada Secretariat Directive on Privacy Impact Assessments, Available at https://www.tbs-sct.gc.ca/pol/doc-eng.aspx?id=18308 |
| 14 | “Expectations: A Guide for Submitting Privacy Impact Assessments to the Office of the Privacy Commissioner of Canada”, https://publications.gc.ca/collections/collection_2011/priv/IP54-36-2011-eng.pdf |
| 15 | PIA Framework for RFID Applications, Available at: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp180_annex_en.pdf |
| 16 | The ICO PIA Handbook Version 2.0, , https://www.huntonprivacyblog.com/wp-content/uploads/sites/28/2013/09/PIAhandbookV2.pdf |
| 17 | “The Privacy Office Official Guidance – June 2010”, US Department of Homeland Security – Privacy Office, https://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_guidance_june2010.pdf |
| 18 | PIA Guidelines German BSI, , https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/RFID/PIA/pia.html |
| 19 | Tancock | Pearson | Charlesworth: The Emergence of Privacy Impact Assessments, https://www.researchgate.net/publication/229046516_The_Emergence_of_Privacy_Impact_Assessments |
| 20 | DoD Privacy Impact Assessment (PIA) Guidance, https://www.esd.whs.mil/portals/54/documents/dd/issuances/dodi/540016p.pdf |
| 21 | Privacy Impact Assessments, International Study of their Application and Effects October, 2007 Linden Consulting, Inc. |
| 22 | Wright D., The state of the art in privacy impact assessment. Comput. Law Secur. Rev. 2012 Feb., 28 (1) pp. 54–61. Available at: https://www.sciencedirect.com/science/journal/02673649 |
| 23 | Finn R., Wright D., Friedewald M., Seven types of privacy. In: European Data Protection: Coming of Age? (Gutwirth S., Leenes R., De Hert P. et al., eds.). Springer, Dordrecht, 2013 |
| 24 | Wright D., de Hert P., eds. Privacy Impact Assessment. Springer, Dordrecht, 2012 |
| 25 | Wright D., Making privacy impact assessment more effective. Inf. Soc. 2013, 29 (5) pp. 307–315. Available at: https://iapp.org/media/pdf/knowledge_center/Making_PIA__more_effective.pdf |
| 26 | Privacy Impact Assessment (PIA), CNIL, 2018, https://www.cnil.fr/en/privacy-impact-assessment-pia |
| 27 | Article 29 Data Protection Working Party, “Opinion 05/2012 on Cloud Computing”, 01037/12/EN, WP 196, July 2012 (Web reference: https://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf ) |
| 28 | Report E.N.I.S.A., “Cloud Computing Risk Assessment - Benefits, risks and recommendations for information security”, November 2009 (Web reference: https://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment ) |
| 29 | Article 29 Data Protection Working Party. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is"likely to result in a high risk" for the purposes of Regulation 2016/679. Available at https://ec.europa.eu/newsroom/just/document.cfm?doc_id=47711 |