この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
このドキュメントでは、次の用語と定義が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
アクティビティ
プロセスのまとまりのあるタスクのセット
[出典: ISO/IEC/IEEE 15288:2015]
3.2
可用性
認可されたエンティティからの要求に応じてアクセスおよび使用できるプロパティ
[出典: ISO/IEC/IEEE 27000:2018]
3.3
守秘義務
許可されていない個人、エンティティ、またはプロセスに情報が提供または開示されないという特性
[出典: ISO/IEC/IEEE 27000:2018]
3.4
解離性
システムの運用要件を超えて個人またはデバイスに関連付けることなく、PII またはイベントの処理を可能にするプロパティ。
[ソース: NISTIR 8062]
3.5
威厳
正確性と完全性の特性
[出典: ISO/IEC 27000:2018]
3.6
介入可能性
PII プリンシパル、PII コントローラー、PII プロセッサー、および監督機関がすべてのプライバシー関連データ処理に介入できることを保証するプロパティ
注記 1:これらの利害関係者がデータ処理に介入できる範囲は、関連する法律または規制によって制限される場合があります。
[ソース: ULD]
3.7
管理性
変更、削除、および選択的開示を含む PII の詳細な管理機能を提供するプロパティ
[ソース: NISTIR 8062]
3.8
個人を特定できる情報
PII
(a) その情報が関連する PII プリンシパルを特定するために使用できる情報、または (b) PII プリンシパルに直接的または間接的にリンクされている、またはリンクされる可能性のある情報
注記 1: PII プリンシパルが識別可能かどうかを判断するには、データを保持するプライバシー利害関係者またはその他の当事者がその自然人を識別するために合理的に使用できるすべての手段を考慮する必要があります。
[出典: ISO/IEC 29100:2011]
3.9
PII コントローラー
個人的な目的でデータを使用する自然人以外の個人を特定できる情報 (PII) を処理する目的と手段を決定するプライバシー利害関係者 (またはプライバシー利害関係者)
注記1: PII管理者は、PII管理者に代わってPIIを処理するように他の人(PII処理者など)に指示することがありますが、処理の責任はPII管理者にあります。
[出典: ISO/IEC 29100:2011]
3.10
PII プリンシパル
個人を特定できる情報 (PII) に関連する自然人
注記 1:法域および特定の PII 保護およびプライバシーに関する法律によっては、「PII プリンシパル」という用語の代わりに「データ主体」という同義語を使用することもできます。
[出典: ISO/IEC 29100:2011]
3.11
PII プロセッサ
個人を特定できる情報 (PII) を、PII 管理者に代わってその指示に従って処理するプライバシー利害関係者
[出典: ISO/IEC 29100:2011]
3.12
予測可能性
PII およびシステムによるその処理について、個人、所有者、およびオペレーターによる信頼できる仮定を可能にするプロパティ。
[ソース: NISTIR 8062]
3.13
違反
個人を特定できる情報が、1 つまたは複数の関連するプライバシー保護要件に違反して処理される状況
[出典: ISO/IEC 29100:2011]
3.14
プライバシー工学
システムおよびソフトウェア エンジニアリング ライフ サイクル プロセスのエンジニアリング プラクティスへのプライバシーの懸念の統合
3.15
プライバシー原則
情報通信技術システムで処理される際の個人を特定できる情報 (PII) のプライバシー保護を管理する共有値のセット
[出典: ISO/IEC 29100:2011]
3.16
プライバシーリスク
不確実性がプライバシーに与える影響
[出典: ISO/IEC 29100:2011]
注記 1:リスクは、ISO Guide 73 および ISO 31000 で「目標に対する不確実性の影響」として定義されています。
注記2不確実性とは,ある出来事,その結果,または可能性に関連する情報,理解または知識が部分的にでも不足している状態である。
3.17
プライバシーのリスク源
単独で、または他の要素と組み合わせて、 プライバシー リスク (3.16) を引き起こす本質的な可能性を持つ要素。
注記 1: NISTIR 8062 ではプライバシーリスク要因とも呼ばれる[18] 。
注記 2: LINDDUN [22]ではプライバシーの脅威とも呼ばれる。
3.18
処理する
インプットをアウトプットに変換する、相互に関連する、または相互作用する一連の活動。
[出典: ISO/IEC 27000:2018]
3.19
プロセスの結果
プロセス目的の成功の達成の観察可能な結果
[出典: ISO/IEC/IEEE 15288:2015]
3.20
PIIの処理
個人を特定できる情報 (PII) に対して実行される操作または一連の操作
注記 1: PII の処理操作の例には、PII の収集、保存、変更、検索、参照、開示、匿名化、仮名化、流布またはその他の方法での利用可能化、削除または破棄が含まれますが、これらに限定されません。
注記 2: NISTIR 8062 ではデータアクションとも呼ばれる[18]
[出典: ISO/IEC 29100:2011]
3.21
危険
目標に対する不確実性の影響
[出典: ISO/IEC 31000:2018]
3.22
タスク
プロセスの 1 つまたは複数の結果の達成に貢献することを目的とした、必要な、推奨される、または許容されるアクション
[出典: ISO/IEC/IEEE 15288:2015]
3.23
タッチポイント
ドメイン間、システム間、またはドメイン内のプロセス間のデータ フローの交差点
[出典: オアシス PMRM]
3.24
透明度
法的、技術的、組織的な設定を含むすべてのプライバシー関連のデータ処理を理解し、再構築できることを保証するプロパティ
[ソース: ULD]
3.25
リンク不可
PII プリンシパルがリソースまたはサービスを複数回使用できることを保証するプロパティ
[ソース: ULD]
参考文献
| [1] | ISO/IEC/IEEE 15288, システムおよびソフトウェア工学 — システム ライフ サイクル プロセス |
| [2] | ISO/IEC/IEEE 12207, システムおよびソフトウェア工学 — ソフトウェア ライフ サイクル プロセス |
| [3] | ISO/IEC/IEEE 29148, システムおよびソフトウェア エンジニアリング - ライフ サイクル プロセス - 要件エンジニアリング |
| [4] | ISO/IEC/IEEE 29110, システムおよびソフトウェア エンジニアリング — ベリー スモール エンティティ (VSE) のライフサイクル プロファイル。 http://standards.iso.org/ittf/PubliclyAvailableStandards/index.htmlで無料で入手可能 |
| [5] | ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙 |
| [6] | ISO/IEC 27001, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| [7] | ISO/IEC 27002, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
| [8] | ISO/IEC 27005, 情報技術 - セキュリティ技術 - 情報セキュリティ リスク管理 |
| [9] | ISO/IEC 27034, 情報技術 — アプリケーション セキュリティ |
| [10] | ISO/IEC 29100, 情報技術 - セキュリティ技術 - プライバシー フレームワーク、http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html で入手可能 |
| [11] | ISO/IEC 29134, 情報技術 — セキュリティ技術 — プライバシー影響評価のガイドライン |
| [12] | ISO/IEC 29151, 情報技術 — セキュリティ技術 — 個人を特定できる情報保護のための行動規範 |
| [13] | ISO/IEC 27018, 情報技術 — セキュリティ技術 — PII プロセッサとして機能するパブリック クラウドでの個人を特定できる情報 (PII) の保護のための実践規範 |
| [14] | ISO/IEC 27552, 情報技術 - セキュリティ技術 - プライバシー管理のための ISO/IEC 27001 および ISO/IEC 27002 への拡張 - 要件とガイドライン |
| [15] | ISO 31000, リスク管理 — ガイドライン |
| [16] | A. Cavoukian, 「プライバシー バイ デザインの 7 つの基本原則」、情報およびプライバシー コミッショナー、オンタリオ州、カナダ。 https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf |
| [17] | 2016 年 4 月 27 日の欧州議会および理事会の規則 (EU) 2016/679 は、個人データの処理に関する自然人の保護およびそのようなデータの自由な移動に関するものであり、指令 95/46/EC を繰り返すものです。 (一般データ保護規則)欧州連合の公式ジャーナル。 2015 年 5 月 4 日。 |
| [18] | NISTIR 8062. 「連邦システムにおけるプライバシー工学とリスク管理の紹介」 . 2015 年 1 月。 http://csrc.nist.gov/publications/drafts/nistir-8062/nistir_8062_draft.pdf |
| [19] | NISTIR 8062 「連邦制度におけるプライバシー工学とリスク管理の紹介」 。 2017 年 1 月。 http://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8062.pdf |
| [20] | Spiekermann S, Cranor L, 「プライバシー エンジニアリング」。 IEEE Transactions on Software Engineering, Vol. 35, No. 1, 2009 年 1 月/2 月、pp. 67-8 |
| [21] | Gürses SF, Troncoso C, Diaz C, 「Engineering Privacy-by-Design」。コンピューター、プライバシーとデータ保護、2011 |
| [22] | Kung A.、Freytag J.、Kargl F.、「ITS アプリケーションにおけるプライバシー バイ デザイン」。ワイヤレス ネットワークにおけるデータ セキュリティとプライバシーに関する第 2 回 IEEE 国際ワークショップ、2011 年 6 月 20 日、イタリア、ルッカ |
| [23] | Hansen M, Jensen M, Rost M, 「エンジニアリング プライバシーの保護目標」。 2015 年プライバシー工学に関する国際ワークショップ (IWPE) http://ieee-security.org/TC/SPW2015/IWPE/2.pdf |
| [24] | Deng Mina, Kim Wuyts, Riccardo Scandariato, Bart Preneel, Wouter Joosen, プライバシー脅威分析フレームワーク: プライバシー要件の引き出しと履行のサポート、要件エンジニアリング ジャーナル、第 16 巻、第 1 号、3 ~ 32 ページ、2011 年 |
| [25] | LINDDUN プライバシー脅威分析方法論、 https: //www.linddun.org/ |
| [26] | Danezis G, Domingo-Ferrer J, Hansen M, Hoepman J-H, Le Métayer D, Tirtea R et al. ENISA レポート、デザインによるプライバシーとデータ保護 — ポリシーからエンジニアリングまで。 2014 年 12 月。 https://www.enisa.europa.eu/publications/privacy-and-data-protection-by-design/at_download/fullReport |
| [27] | 構造化情報標準化推進機構(OASIS) プライバシー管理参照モデルおよび方法論( PMRM )、バージョン 1. 2013 年 7 月、2016 年 5 月更新。 http://docs.oasis-open.org/pmrm/PMRM/v1.0/PMRM-v1.0.pdf |
| [28] | 構造化情報標準の推進のための組織(OASIS ) P b D- SE 、2014 年 6 月。 -se-v1.0-csd01.pdf および http://docs.oasis-open.org/pbd-se/pbd-se-annex/v1.0/cnd01/pbd-se-annex-v1.0 -cnd01 .pdf |
| [29] | J aap - H enk H oepman 、プライバシー設計戦略 - (拡張抄録) In ICT Systems Security and Privacy Protection - 29th IFIP TC 11 International Conference, SEC 2014, Marrakech, Morocco, June 2-4, 2014. Proceedings, pages 446–459, 2014 |
| [30] | M Colesky, JH Hoepman, C Hillen, プライバシー設計戦略の批判的分析。 2016 年プライバシー エンジニアリングに関する国際ワークショップ – IWPE'16, 33 ~ 40 ページ、米国カリフォルニア州サンノゼ、2016 年 5 月 26 日 |
| [31] | アルベルトクレスポ ガルシア、ニコラス ノタリオ マクドネル、カルメラトロンコソ、ダニエル ルメテイヤー、インガ クローナー、デビッド ライト、ホセ マリア デル アラモ、ヨド サミュエル マルティン。プリパレコンソーシアム。プライバシーとセキュリティ バイ デザインの方法論ハンドブック。 2015 年 12 月。 http://pripareproject.eu/wp-content/uploads/2013/11/PRIPARE-Methodology-Handbook-Final-Feb-24-2016.pdf |
| [32] | スーリヤ・ジョイ・ド、ダニエル・ル・メテエ。プライバシーリスク分析。情報セキュリティ、プライバシー、信頼に関する総合講師、Morgan および Claypool 出版社、2016 年。 |
| [33] | NIST Special Publication 800-30 Revision 1, リスク評価実施ガイド、2012 年 9 月。 |
| [34] | NIST Special Publication 800-53 Security and Privacy Controls for Federal Information Systems and Organizations. 2013 年 4 月 https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-53r4.pdf |
| [35] | CNIL PIA マニュアル 1- 方法論: PIA の実行方法。 2015 年 6 月リリース。 https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methodology.pdf |
| [36] | CNIL PIA マニュアル 1- ツール (テンプレートと知識ベース) https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-2-Tools.pdf |
| [37] | STRIDE 脅威モデル。 https://msdn.microsoft.com/en-us/library/ee823878(v=cs.20).aspx .このページには次のように記載されていることに注意してください。このドキュメントはアーカイブされており、維持されていません。 |
| [38] | Solove DJ, プライバシーの分類法。ペンシルベニア大学ローレビュー、Vol. 154, no. 3, 477, 2006 年 1 月。 GWUロースクール公法研究論文番号。 129 |
| [39] | Pfitzmann A.、Hansen M.、データの最小化によるプライバシーについて話すための用語: 匿名性、非リンク可能性、検出不能性、観察不能性、仮名性、および ID 管理。 2010 年 8 月。 https://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.34.pdf |
| [40] | LINDDUN 緩和戦略と解決策。 https://linddun.org/solutions.php |
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
activity
set of cohesive tasks of a process
[SOURCE: ISO/IEC/IEEE 15288:2015]
3.2
availability
property of being accessible and usable upon demand by an authorized entity
[SOURCE: ISO/IEC/IEEE 27000:2018]
3.3
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or processes
[SOURCE: ISO/IEC/IEEE 27000:2018]
3.4
disassociability
property that enables the processing of PII or events without association to individuals or devices beyond the operational requirements of the system
[SOURCE: NISTIR 8062]
3.5
integrity
property of accuracy and completeness
[SOURCE: ISO/IEC 27000:2018]
3.6
intervenability
property that ensures that PII principals, PII controllers, PII processors and supervisory authorities can intervene in all privacy-relevant data processing
Note 1 to entry: the extent to which any of these stakeholders can intervene in data processing may be limited by relevant legislation or regulation.
[SOURCE: ULD]
3.7
manageability
property that provides the capability for granular administration of PII including alteration, deletion, and selective disclosure
[SOURCE: NISTIR 8062]
3.8
personally identifiable information
PII
any information that (a) can be used to identify the PII principal to whom such information relates, or (b) is or might be directly or indirectly linked to a PII principal
Note 1 to entry: To determine whether a PII principal is identifiable, account should be taken of all the means which can reasonably be used by the privacy stakeholder holding the data, or by any other party, to identify that natural person.
[SOURCE: ISO/IEC 29100:2011]
3.9
PII controller
privacy stakeholder (or privacy stakeholders) that determines the purposes and means for processing personally identifiable information (PII) other than natural persons who use data for personal purposes
Note 1 to entry: A PII controller sometimes instructs others (e.g., PII processors) to process PII on its behalf while the responsibility for the processing remains with the PII controller.
[SOURCE: ISO/IEC 29100:2011]
3.10
PII principal
natural person to whom the personally identifiable information (PII) relates
Note 1 to entry: Depending on the jurisdiction and the particular PII protection and privacy legislation, the synonym “data subject” can also be used instead of the term “PII principal”.
[SOURCE: ISO/IEC 29100:2011]
3.11
PII processor
privacy stakeholder that processes personally identifiable information (PII) on behalf of and in accordance with the instructions of a PII controller
[SOURCE: ISO/IEC 29100:2011]
3.12
predictability
property that enables reliable assumptions by individuals, owners, and operators about PII and its processing by a system
[SOURCE: NISTIR 8062]
3.13
privacy breach
situation where personally identifiable information is processed in violation of one or more relevant privacy safeguarding requirements
[SOURCE: ISO/IEC 29100:2011]
3.14
privacy engineering
integration of privacy concerns into engineering practices for systems and software engineering life cycle processes
3.15
privacy principles
set of shared values governing the privacy protection of personally identifiable information (PII) when processed in information and communication technology systems
[SOURCE: ISO/IEC 29100:2011]
3.16
privacy risk
effect of uncertainty on privacy
[SOURCE: ISO/IEC 29100:2011]
Note 1 to entry: Risk is defined as the “effect of uncertainty on objectives” in ISO Guide 73 and ISO 31000.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an event, its consequence, or likelihood.
3.17
privacy risk source
element which alone or in combination with other elements has the intrinsic potential to give rise to privacy risk (3.16)
Note 1 to entry: also referred to as privacy risk factor in NISTIR 8062[18].
Note 2 to entry: also referred to as privacy threat in LINDDUN[22].
3.18
process
set of interrelated or interacting activities which transform inputs into outputs
[SOURCE: ISO/IEC 27000:2018]
3.19
process outcome
observable result of the successful achievement of the process purpose
[SOURCE: ISO/IEC/IEEE 15288:2015]
3.20
processing of PII
operation or set of operations performed upon personally identifiable information (PII)
Note 1 to entry: examples of processing operations of PII include, but are not limited to, the collection, storage, alteration, retrieval, consultation, disclosure, anonymization, pseudonymization, dissemination or otherwise making available, deletion or destruction of PII.
Note 2 to entry: also referred to as data action in NISTIR 8062[18]
[SOURCE: ISO/IEC 29100:2011]
3.21
risk
effect of uncertainty on objectives
[SOURCE: ISO/IEC 31000:2018]
3.22
task
required, recommended, or permissible action, intended to contribute to the achievement of one or more outcomes of a process
[SOURCE: ISO/IEC/IEEE 15288:2015]
3.23
touch point
intersections of data flows across domains or systems or processes within domains
[SOURCE: OASIS PMRM]
3.24
transparency
property that ensures that all privacy-relevant data processing including the legal, technical and organizational setting can be understood and reconstructed
[SOURCE: ULD]
3.25
unlinkability
property that ensures that a PII principal may make multiple uses of resources or services without others being able to link these uses together
[SOURCE: ULD]
Bibliography
| [1] | ISO/IEC/IEEE 15288, Systems and software engineering — System life cycle processes |
| [2] | ISO/IEC/IEEE 12207, Systems and software engineering — Software life cycle processes |
| [3] | ISO/IEC/IEEE 29148, Systems and software engineering — Life cycle processes — Requirements engineering |
| [4] | ISO/IEC/IEEE 29110, Systems and software engineering — Lifecycle profiles for Very Small Entities (VSEs). Freely, available at http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html |
| [5] | ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary |
| [6] | ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements |
| [7] | ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security controls |
| [8] | ISO/IEC 27005, Information technology — Security techniques — Information security risk management |
| [9] | ISO/IEC 27034, Information technology — Application security |
| [10] | ISO/IEC 29100, Information technology — Security techniques — Privacy framework, available at http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html |
| [11] | ISO/IEC 29134, Information technology — Security techniques — Guidelines for privacy impact assessment |
| [12] | ISO/IEC 29151, Information technology — Security techniques — Code of practice for personally identifiable information protection |
| [13] | ISO/IEC 27018, Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors |
| [14] | ISO/IEC 27552, Information technology — Security techniques — Extension to ISO/IEC 27001 and to ISO/IEC 27002 for privacy management – Requirements and guidelines |
| [15] | ISO 31000, Risk management — Guidelines |
| [16] | Cavoukian A., “7 Foundational Principles of Privacy by Design”, Information & Privacy Commissioner, Ontario, Canada. https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf |
| [17] | Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Official Journal of the European Union. May 4th, 2015. |
| [18] | NISTIR 8062. “Introduction to Privacy Engineering and Risk Management in Federal Systems”. January 2015. http://csrc.nist.gov/publications/drafts/nistir-8062/nistir_8062_draft.pdf |
| [19] | NISTIR 8062 “An Introduction to Privacy Engineering and Risk Management in Federal System”. January 2017. http://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8062.pdf |
| [20] | Spiekermann S., Cranor L., “Privacy Engineering”. IEEE Transactions on Software Engineering, Vol. 35, Nr. 1, January/February 2009, pp. 67-82. |
| [21] | Gürses S. F., Troncoso C., Diaz C., “Engineering Privacy-by-Design”. Computers, Privacy & Data Protection, 2011 |
| [22] | Kung A., Freytag J., Kargl F., “Privacy-by-design in ITS applications”. 2nd IEEE International Workshop on Data Security and Privacy in wireless Networks, June 20, 2011, Lucca, Italy |
| [23] | Hansen M., Jensen M., Rost M., “Protection Goals for Engineering Privacy”; in 2015 International Workshop on Privacy Engineering (IWPE). http://ieee-security.org/TC/SPW2015/IWPE/2.pdf |
| [24] | Deng Mina, Kim Wuyts, Riccardo Scandariato, Bart Preneel, Wouter Joosen, A privacy threat analysis framework: supporting the elicitation and fulfillment of privacy requirements, Requirements Engineering Journal, volume 16, issue 1, pages 3-32, 2011 |
| [25] | LINDDUN privacy threat analysis methodology, https://www.linddun.org/ |
| [26] | Danezis G., Domingo-Ferrer J., Hansen M., Hoepman J.-H., Le Métayer D., Tirtea R. et al., ENISA Report, Privacy and Data Protection by Design — from policy to engineering. December 2014. https://www.enisa.europa.eu/publications/privacy-and-data-protection-by-design/at_download/fullReport |
| [27] | Organization for the Advancement of Structured Information Standards (OASIS) Privacy Management Reference Model and Methodology, (PMRM), Version 1.0. July 2013, updated May 2016. http://docs.oasis-open.org/pmrm/PMRM/v1.0/PMRM-v1.0.pdf |
| [28] | Organization for the Advancement of Structured Information Standards (OASIS) PbD-SE, June 2014. http://docs.oasis-open.org/pbd-se/pbd-se/v1.0/csd01/pbd-se-v1.0-csd01.pdf and http://docs.oasis-open.org/pbd-se/pbd-se-annex/v1.0/cnd01/pbd-se-annex-v1.0-cnd01.pdf |
| [29] | Jaap-Henk Hoepman, Privacy design strategies – (extended abstract). In ICT Systems Security and Privacy Protection - 29th IFIP TC 11 International Conference, SEC 2014, Marrakech, Morocco, June 2-4, 2014. Proceedings, pages 446–459, 2014 |
| [30] | Colesky M., Hoepman J.-H., Hillen C., A Critical Analysis of Privacy Design Strategies. In 2016 International Workshop on Privacy Engineering – IWPE'16, pages 33-40, San Jose, CA, USA, May 26 2016 |
| [31] | Alberto Crespo García, Nicolás Notario McDonnell, Carmela Troncoso, Daniel Le Métayer, Inga Kroener, David Wright, José María del Álamo, Yod Samuel Martín. PRIPARE consortium. Privacy and security-by-design methodology handbook. December 2015. http://pripareproject.eu/wp-content/uploads/2013/11/PRIPARE-Methodology-Handbook-Final-Feb-24-2016.pdf |
| [32] | Sourya Joyee De, Danial Le Métayer. Privacy Risk Analysis. Synthesis lecturers on information security, privacy and trust, Morgan and Claypool publishers, 2016. |
| [33] | NIST Special Publication 800-30 Revision 1, Guide for Conducting Risk Assessments, September 2012. |
| [34] | NIST Special Publication 800-53 Security and Privacy Controls for Federal Information Systems and Organizations. April 2013 https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-53r4.pdf |
| [35] | CNIL PIA manual 1- methodology: how to carry out a PIA. June 2015 Edition. https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methodology.pdf |
| [36] | CNIL PIA manual 1- tools (templates and knowledge bases). https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-2-Tools.pdf |
| [37] | The STRIDE threat model; https://msdn.microsoft.com/en-us/library/ee823878(v=cs.20).aspx . Note that the page states the following: This documentation is archived and is not being maintained. |
| [38] | Solove D.J., A Taxonomy of Privacy. University of Pennsylvania Law Review, Vol. 154, No. 3, p. 477, January 2006; GWU Law School Public Law Research Paper No. 129. |
| [39] | Pfitzmann A., Hansen M., A terminology for talking about privacy by data minimization: anonymity, unlinkability, undetectability, unobservability, pseudonymity and identity management. Aug. 2010. https://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.34.pdf . |
| [40] | LINDDUN mitigation strategies and solutions. https://linddun.org/solutions.php |