この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
この文書の目的のために、ISO/IEC 38500 および以下に示されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
匿名化
個人識別情報 (PII) が、PII 管理者単独または他の当事者との協力により、直接的または間接的に特定できないように不可逆的に変更されるプロセス
[出典:ISO/IEC 29100:2011, 2.2]
3.2
ビッグデータ
特定の問題領域について、特定の時点における現在/既存/確立/伝統的な技術や手法を使用して効率的に処理できない特性 (例: 量、速度、多様性、変動性、真実性など) を持つデータセット。価値を引き出すために
注記 1: ビッグデータという用語は、一般にさまざまな方法で使用されます。たとえば、ビッグデータの大規模なデータセットを処理するために使用されるスケーラブルなテクノロジの名前として使用されます。
[出典:ISO/IEC 20546:- 1, 3.2.1 ]
3.3
クラウドコンピューティング
セルフサービス プロビジョニングとオンデマンド管理により、共有可能な物理リソースまたは仮想リソースのスケーラブルで弾力性のあるプールへのネットワーク アクセスを可能にするパラダイム
注記 1: リソースの例には、サーバー、オペレーティング・システム、ネットワーク、ソフトウェア、アプリケーション、およびストレージ装置が含まれます。
[出典:ISO/IEC 17788:2014, 3.2.5]
3.4
データの説明責任
データとその使用に対する責任
注記 1: データの「使用」には、データに関連するすべての活動が含まれます。
3.5
識別
一連の識別データとデータ主体の間の関連付けを削除するプロセスの総称
[出典:ISO/TS 25237:2008, 3.18]
3.6
モノのインターネット
モノのインターネット
既存および進化する相互運用可能な情報通信技術に基づいて、モノ(物理的および仮想的)を相互接続することで高度なサービスを可能にする、情報社会のためのグローバルインフラストラクチャ
注記 1: IoT は、識別、データ収集、処理、および通信機能の活用を通じて、セキュリティとプライバシーの要件が確実に満たされるようにしながら、あらゆる種類のアプリケーションにサービスを提供するためにあらゆるものを活用します。
注記 2: 広い観点から見ると、IoT は技術的および社会的影響を伴うビジョンとして認識できます。
[出典:記録。 ITU-T Y.2060]
3.7
機械学習
将来の結果を予測するために既存のデータから学習できる、手続き型コーディングではなくアルゴリズムを使用したプロセス
3.8
仮名化
個人識別情報 (PII) に適用され、識別情報をエイリアスに置き換えるプロセス
注記 1: 仮名化は、PII プリンシパル自体または PII 管理者のいずれかによって実行できます。 PII プリンシパルは仮名化を使用して、その使用に対する責任を負いながら、そのリソースまたはサービス (またはサービス間) に ID を開示することなく、リソースまたはサービスを一貫して使用することができます。
注記 2:仮名化は、仮名化されたデータの PII 管理者以外に、別名およびリンクされているデータに基づいて PII 本人の身元を特定できる (限られたセットの) プライバシー利害関係者が存在する可能性を排除するものではありません。それ。
[出典:ISO/IEC 29100:2011, 2.24]
3.9
個人を特定できる情報
PII
(a) かかる情報が関連する PII 本人を特定するために使用できる情報、または (b) PII 本人に直接的または間接的に関連付けられている、または関連付けられる可能性がある情報
注記 1: PII 本人が特定可能かどうかを判断するには、データを保持するプライバシー利害関係者、またはその他の当事者がその自然人を特定するために合理的に使用できるすべての手段を考慮する必要があります。
[出典:ISO/IEC 29100:2011, 2.9]
3.10
PII 本人
個人識別情報 (PII) が関係する自然人
注記 1: 管轄区域および特定のデータ保護法およびプライバシー法によっては、「PII 本人」という用語の代わりに同義語「データ主体」が使用されることもあります。
[出典:ISO/IEC 29100:2011, 2.11]
参考文献
| 1 | ISO/IEC 38500, 情報技術 - 組織の IT ガバナンス |
| 2 | ISO/IEC TS 38501, 情報技術 - IT のガバナンス - 実装ガイド |
| 3 | ISO/IEC TR 38502, 情報技術 - IT のガバナンス - フレームワークとモデル |
| 4 | ISO 31000:2009, リスク管理 - 原則とガイドライン |
| 5 | ISO/TR 31004:2013, リスク管理 - ISO 31000 の導入に関するガイダンス |
| 6 | ISO/IEC 17788:2014, 情報技術 — クラウド コンピューティング — 概要と用語 |
| 7 | ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と用語 |
| 8 | ISO/IEC 27002:2013, 情報技術 — セキュリティ技術 — 情報セキュリティ管理の実践規範 |
| 9 | ISO/IEC 27017, 情報技術 - セキュリティ技術 - クラウド サービス向けの ISO/IEC 27002 に基づく情報セキュリティ管理の実践規範 |
| 10 | ISO/IEC 27018, 情報技術 - セキュリティ技術 - PII プロセッサとして機能するパブリック クラウドにおける個人識別情報 (PII) の保護に関する実践規範 |
| 11 | ISO/IEC 20546:- 3 、情報技術 - ビッグデータ - 定義と語彙 |
| 12 | ISO/IEC 20889:- 4 、情報技術 - セキュリティ技術 - プライバシー強化データ匿名化技術 |
| 13 | ISO/IEC 29100:2011, 情報技術 - セキュリティ技術 - プライバシー フレームワーク |
| 14 | 米国国立標準技術研究所による「重要インフラのサイバーセキュリティを改善するためのフレームワーク」。 http://www.nist.gov/cyberframework/upload/ サイバーセキュリティ-フレームワーク-021214.pdf |
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 38500 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
anonymization
process by which personally identifiable information (PII) is irreversibly altered in such a way that a PII principal can no longer be identified directly or indirectly, either by the PII controller alone or in collaboration with any other party
[SOURCE:ISO/IEC 29100:2011, 2.2]
3.2
big data
data set(s) with characteristics (e.g. volume, velocity, variety, variability, veracity, etc.) that for a particular problem domain at a given point in time cannot be efficiently processed using current/existing/established/traditional technologies and techniques in order to extract value
Note 1 to entry: The term Big Data is commonly used in many different ways, for example as the name of the scalable technology used to handle big data extensive datasets.
[SOURCE:ISO/IEC 20546:— 1 , 3.2.1]
3.3
cloud computing
paradigm for enabling network access to a scalable and elastic pool of shareable physical or virtual resources with self-service provisioning and administration on-demand
Note 1 to entry: Examples of resources include servers, operating systems, networks, software, applications, and storage equipment.
[SOURCE:ISO/IEC 17788:2014, 3.2.5]
3.4
data accountability
accountability for data and its use
Note 1 to entry: The “use” of data includes all activities associated with data.
3.5
de-identification
general term for any process of removing the association between a set of identifying data and the data subject
[SOURCE:ISO/TS 25237:2008, 3.18]
3.6
internet of things
IoT
global infrastructure for the information society, enabling advanced services by interconnecting (physical and virtual) things based on, existing and evolving, interoperable information and communication technologies
Note 1 to entry: Through the exploitation of identification, data capture, processing and communication capabilities, the IoT makes full use of things to offer services to all kinds of applications, whilst ensuring that security and privacy requirements are fulfilled.
Note 2 to entry: In a broad perspective, the IoT can be perceived as a vision with technological and societal implications.
[SOURCE:Rec. ITU-T Y.2060]
3.7
machine learning
process using algorithms rather than procedural coding that enables learning from existing data in order to predict future outcomes
3.8
pseudonymization
process applied to personally identifiable information (PII) which replaces identifying information with an alias
Note 1 to entry: Pseudonymization can be performed either by PII principals themselves or by PII controllers. Pseudonymization can be used by PII principals to consistently use a resource or service without disclosing their identity to this resource or service (or between services), while still being held accountable for that use.
Note 2 to entry: Pseudonymization does not rule out the possibility that there might be (a restricted set of) privacy stakeholders other than the PII controller of the pseudonymized data which are able to determine the PII principal’s identity based on the alias and data linked to it.
[SOURCE:ISO/IEC 29100:2011, 2.24]
3.9
personally identifiable information
PII
any information that (a) can be used to identify the PII principal to whom such information relates, or (b) is or might be directly or indirectly linked to a PII principal
Note 1 to entry: To determine whether a PII principal is identifiable, account should be taken of all the means which can reasonably be used by the privacy stakeholder holding the data, or by any other party, to identify that natural person.
[SOURCE:ISO/IEC 29100:2011, 2.9]
3.10
PII principal
natural person to whom the personally identifiable information (PII) relates
Note 1 to entry: Depending on the jurisdiction and the particular data protection and privacy legislation, the synonym “data subject” can also be used instead of the term “PII principal”.
[SOURCE:ISO/IEC 29100:2011, 2.11]
Bibliography
| 1 | ISO/IEC 38500, Information technology — Governance of IT for the organization |
| 2 | ISO/IEC/TS 38501, Information technology — Governance of IT — Implementation Guide |
| 3 | ISO/IEC/TR 38502, Information technology — Governance of IT — Framework and model |
| 4 | ISO 31000:2009, Risk management — Principles and guidelines |
| 5 | ISO/TR 31004:2013, Risk management — Guidance for the implementation of ISO 31000 |
| 6 | ISO/IEC 17788:2014, Information technology — Cloud computing — Overview and vocabulary |
| 7 | ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary |
| 8 | ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls |
| 9 | ISO/IEC 27017, Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services |
| 10 | ISO/IEC 27018, Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors |
| 11 | ISO/IEC 20546:— 3 , Information technology — Big data — Definition and vocabulary |
| 12 | ISO/IEC 20889:— 4 , Information technology — Security techniques — Privacy enhancing data de-identification techniques |
| 13 | ISO/IEC 29100:2011, Information technology — Security techniques — Privacy framework |
| 14 | “Framework for Improving Critical Infrastructure Cybersecurity” by National Institute of Standards and Technology, USA. http://www.nist.gov/cyberframework/upload/ cybersecurity-framework-021214.pdf |