この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。
この文書の作成に使用された手順と、今後の維持を意図した手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受信した特許宣言の ISO リスト ( www.iso.org/patents を参照) または受信した特許宣言の IEC リスト ( http://patents.iec.ch )
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、 www を参照してください。 .iso.org/iso/foreword.html .
このドキュメントは、合同技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 38, クラウド コンピューティングおよび分散プラットフォームによって作成されました。
序章
マルチソース データの処理に関連するビジネス上および技術上の側面は多数ありますが、クラウド サービス ユーザー、クラウド サービスの顧客、およびクラウド サービス プロバイダー間の信頼は、重要な市場の問題です。
マルチソース データのクラウド処理は、業界での開発の初期段階にあり、特定の顧客の要件は異なり、時間の経過とともに進化することが予想されます。インダストリー クラウドが形成され始めており、場合によっては、その主な目的は、特定の業界またはコミュニティ セクターの参加者からマルチソース データを集めて、共通の目的を達成することです。これらのシナリオでは、データに付随する規制、合意、またはポリシーのために、信頼が必要になる場合があります。
マルチソース データの処理は、金融、輸送、エネルギー、製造、農業、および政府のデータに関する機械学習とともに、人工知能アプリケーションに不可欠です。これらのプロジェクトの成功には、データ、クラウド サービス プロバイダー、処理機能、結果、関係者間の信頼が不可欠です。
このレポートで説明されている信頼の要素は、個人を特定できる情報 (PII)、組織の機密データ (OCD)、またはマルチソース データの一部となり得るその他の種類のデータに関連しています。
1 スコープ
このドキュメントでは、フレームワークの要素として、データ使用の義務と制御、データの来歴、管理の連鎖、セキュリティ、コンプライアンスの不変の証明を含む、マルチソース データの処理のための信頼のフレームワークについて説明します。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 17788, 情報技術 — クラウド コンピューティング — 概要と語彙
3 用語と定義
このドキュメントの目的のために、ISO/IEC 17788 に記載されている用語と定義、および以下が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
親権の連鎖
ある時点から別の時点までの資料の所持、移動、取り扱い、および場所の証明
[出典: ISO/IEC 27050-1:2016, 3.1]
3.2
データ
記録された情報
[出典: ISO 22005:2007, 3.11]
3.3
情報処理
データに対する操作の体系的なパフォーマンス
[出典: ISO 2382:2015, 2121276, 修正 — エントリの注 1 から 4 が削除され、代替用語「自動データ処理」が削除されました。]
3.4
データセット
論理的に意味のあるデータのグループ化
[出典: ISO 8000-2:2018, 3.2.4, 修正 — 例 1 と 2 は削除されました。]
3.5
マルチソースデータ
複数の多様なソースによって生成され、1 つ以上の CSP からの 1 つ以上のクラウド サービスによって組み立てられた個別のデータ セットで構成されるデータ
注記 1:次に、データセットは、各データセットの分析だけでは得られない洞察や情報を抽出することを目的として、分析と処理を組み合わせて処理されます。
3.6
個人を特定できる情報
PII
(a) その情報が関連する PII プリンシパルを特定するために使用できる情報、または (b) PII プリンシパルに直接的または間接的にリンクされている、またはリンクされる可能性のある情報
[出典: ISO/IEC 29100:2011, 2.9, modified — NOTE は削除された。]
3.7
信頼
製品またはシステムが意図したとおりに動作することをユーザーまたはその他の利害関係者が確信している程度
[出典: ISO/IEC 25010:2011, 4.1.3.2]
参考文献
| [1] | ISO 8000-2:2018, データ品質 — 2: 語彙 |
| [2] | ISO/IEC 13156:2011, 情報技術 — システム間の電気通信および情報交換 — 高速 60 GHz PHY, MAC, および PAL |
| [3] | ISO/IEC 15836, 情報およびドキュメント — ダブリン コア メタデータ要素セット |
| [4] | ISO/IEC 17789, 情報技術 - クラウド コンピューティング - リファレンス アーキテクチャ |
| [5] | ISO/IEC 19086-4, クラウド コンピューティング — サービス レベル アグリーメント (SLA) フレームワーク — 4: セキュリティの構成要素と PII の保護 |
| [6] | ISO/IEC 19941, 情報技術 - クラウド コンピューティング - 相互運用性と移植性 |
| [7] | ISO/IEC 19944, 情報技術 - クラウド コンピューティング - クラウド サービスとデバイス: データ フロー、データ カテゴリ、およびデータ使用 |
| [8] | ISO/IEC 25010, システムおよびソフトウェア工学 — システムおよびソフトウェアの品質要件と評価 (SQuaRE) — システムおよびソフトウェアの品質モデル |
| [9] | ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙 |
| [10] | ISO/IEC 27002:2005, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
| [11] | ISO/IEC 27050-1, 情報技術 — セキュリティ技術 — 電子的証拠開示 — 1: 概要と概念 |
| [12] | ISO/IEC 27017, 情報技術 — セキュリティ技術 — クラウド サービス向けの ISO/IEC 27002 に基づく情報セキュリティ管理の実施基準 |
| [13] | ISO/IEC 29100, 情報技術 - セキュリティ技術 - プライバシー フレームワーク |
| [14] | ISO/IEC 30141, モノのインターネット参照アーキテクチャ (IoT RA) |
| [15] | 「ISO/IEC 27018 — Safeguarding Personal Information in the Cloud 」、BSI ホワイトペーパー、2015 年、avail の後に引用。 https://www.bsigroup.com/Documents/iso-iec-27018/ISOIEC-27018-Safeguarding-information-in-the-cloud-whitepaperDec2015.pdf で |
| [16] | 急速な変化の時代における消費者のプライバシーの保護 - 企業と政策立案者への推奨事項、FTC レポート、2012 年、役に立つ。 https://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf で |
| [17] | ラテンアメリカのデータ保護法 — 概要、 https://www.linkedin.com/pulse/data-protection-laws-latin-america-overview-renato-leite-monteiro/ |
| [18] | ラテンアメリカおよびカリブ海のプライバシー法、he : //www.bna.com/privacy-law-latin-m17179927240/ |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see http://patents.iec.ch ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 38, Cloud Computing and Distributed Platforms.
Introduction
There are many business and technical aspects relating to the processing of multi-sourced data, but trust between cloud service users, cloud service customers and the cloud service provider(s) is a significant market issue.
Cloud processing of multi-sourced data is in its early stages of development in the industry, and it is anticipated that specific customer requirements will differ and will evolve over time. Industry clouds have begun to form, and in some cases, their primary purpose is to bring multi-sourced data together from participants in specific industry or community sectors to achieve common objectives. Trust may be required in these scenarios because of regulations, agreements or policies attached to the data.
Processing of multi-sourced data will be essential to artificial intelligence applications along with machine learning on financial, transportation, energy, manufacturing, agricultural and government data. Trust in the data, in the cloud service provider(s), in the processing functions, in the outcomes and among the parties is essential to the success of these projects.
The elements of trust described in this report pertain to Personally Identifiable Information (PII), Organizational Confidential Data (OCD) or any other kind of data that can be a part of multi-sourced data.
1 Scope
This document describes a framework of trust for the processing of multi-sourced data that includes data use obligations and controls, data provenance, chain of custody, security and immutable proof of compliance as elements of the framework.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 17788, Information technology — Cloud computing — Overview and vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 17788 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
chain of custody
demonstrable possession, movement, handling, and location of material from one point in time until another
[SOURCE: ISO/IEC 27050-1:2016, 3.1]
3.2
data
recorded information
[SOURCE: ISO 22005:2007, 3.11]
3.3
data processing
systematic performance of operations upon data
[SOURCE: ISO 2382:2015, 2121276, modified — Notes 1 to 4 to entry have been deleted and the alternate term “automatic data processing” has been deleted.]
3.4
data set
logically meaningful grouping of data
[SOURCE: ISO 8000-2:2018, 3.2.4, modified — EXAMPLES 1 and 2 have been deleted.]
3.5
multi-sourced data
data that consists of separate data sets that have been generated by multiple, diverse sources and assembled by one or more cloud services from one or more CSPs
Note 1 to entry: The data sets are then subject to combined analysis and processing with the aim of extracting insights and information not obtainable through analysis of each dataset on its own.
3.6
personally identifiable information
PII
any information that (a) can be used to identify the PII principal to whom such information relates, or (b) is or might be directly or indirectly linked to a PII principal
[SOURCE: ISO/IEC 29100:2011, 2.9, modified — The NOTE has been deleted.]
3.7
trust
degree to which a user or other stakeholder has confidence that a product or system will behave as intended
[SOURCE: ISO/IEC 25010:2011, 4.1.3.2]
Bibliography
| [1] | ISO 8000-2:2018, Data quality — 2: Vocabulary |
| [2] | ISO/IEC 13156:2011, Information technology — Telecommunications and information exchange between systems — High rate 60 GHz PHY, MAC and PALs |
| [3] | ISO/IEC 15836, Information and documentation — The Dublin Core metadata element set |
| [4] | ISO/IEC 17789, Information technology — Cloud computing — Reference architecture |
| [5] | ISO/IEC 19086-4, Cloud computing — Service level agreement (SLA) framework — 4: Components of security and of protection of PII |
| [6] | ISO/IEC 19941, Information technology — Cloud computing — Interoperability and portability |
| [7] | ISO/IEC 19944, Information technology — Cloud computing — Cloud services and devices: Data flow, data categories and data use |
| [8] | ISO/IEC 25010, Systems and software engineering — Systems and software Quality Requirements and Evaluation (SQuaRE) — System and software quality models |
| [9] | ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary |
| [10] | ISO/IEC 27002:2005, Information technology — Security techniques — Code of practice for information security management |
| [11] | ISO/IEC 27050-1, Information technology — Security techniques — Electronic discovery — 1: Overview and concepts |
| [12] | ISO/IEC 27017, Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services |
| [13] | ISO/IEC 29100, Information technology — Security techniques — Privacy framework |
| [14] | ISO/IEC 30141, Internet of Things Reference Architecture (IoT RA) |
| [15] | Cited after “ISO/IEC 27018 — Safeguarding Personal Information in the Cloud”, BSI whitepaper, 2015, avail. at https://www.bsigroup.com/Documents/iso-iec-27018/ISOIEC-27018-Safeguarding-information-in-the-cloud-whitepaperDec2015.pdf |
| [16] | Protecting Consumer Privacy in an Era of Rapid Change - Recommendations for Businesses and Policymakers, FTC report, 2012, avail. at https://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf |
| [17] | Data protection laws in Latin America — An overview, https://www.linkedin.com/pulse/data-protection-laws-latin-america-overview-renato-leite-monteiro/ |
| [18] | Privacy Law in Latin America & The Caribbean, https://www.bna.com/privacy-law-latin-m17179927240/ |