この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives or www.iec.ch/members_experts/refdocs を参照)
ISO および IEC は、この文書の実装に特許の使用が含まれる可能性があることに注意を促しています。 ISO および IEC は、請求された特許権の証拠、有効性、または適用性に関していかなる立場もとりません。この文書の発行日の時点で、ISO および IEC は、この文書の実装に必要となる可能性のある特許の通知を受け取っていません。ただし、実装者は、これが www.iso.org/patents および https://patents.iec.ch で入手可能な特許データベースから取得できる最新情報を表していない可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、 www.iso.org/iso/foreword.html を参照してください。 IEC については、 www.iec.ch/ Understanding-standards を参照してください。
この文書は、ISO/IEC JTC 1 合同技術委員会、情報技術、分科会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
導入
この文書では、組織が以下に関する情報を記録するための要件とガイドラインを指定します。
- 個人を特定できる情報 (PII) を収集および処理する前に個人から取得した同意。そして
- 個人がそのようなコンテンツを追跡する手段。
ISO/IEC 29184 は、オンライン プライバシー通知の内容と構造を形成するコントロール、および PII プリンシパルから PII を収集して処理するための同意を求めるプロセスを規定しています。 ISO/IEC 29184 は、PII 管理者、または PII 管理者に代わって PII を処理する組織が、PII の処理方法を PII プリンシパルに通知する義務に重点を置いています。 ISO/IEC 29184 は PII プリンシパルのニーズに対応していません。
この文書は ISO/IEC 29184 に基づいて構築されており、PII 本人に自身の記録保持のための記録を与えるという概念に取り組んでいます。これには、PII 処理の合意とやり取りに関する情報が含まれます。この記録を「同意受領書」と呼びます。
この文書は、同意管理において両方の主体によって使用される構造を指定します。つまり、良好な整合性を備えた記録保持を可能にするために組織が保持するデータの仕様(定義された制御の対象)と、PII が処理される個人に与えられるアーティファクト(「同意受領書」)です。
この文書は、同意記録や同意受領書の交換プロトコルや、そのような交換の構造を指定するものではありません。
1 スコープ
この文書は、PII 処理に対する PII 本人の同意を記録するための、相互運用可能でオープンかつ拡張可能な情報構造を指定します。この文書は、以下をサポートすることを目的として、PII 本人の PII 処理同意に関連する同意受領書および同意記録の使用に関する要件と推奨事項を提供します。
- PII 本人への同意の記録の提供。
- 情報システム間での同意情報の交換。
- 記録された同意のライフサイクルの管理。
2 規範的参照
以下の文書は、その内容の一部またはすべてがこの文書の要件を構成する形で本文中で参照されています。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 29100:2011, 情報技術 - セキュリティ技術 - プライバシー フレームワーク
- ISO/IEC 29184:2020, 情報技術 - オンライン プライバシー通知と同意
3 用語と定義
この文書の目的上、ISO/IEC 29100, ISO/IEC 29184, および以下に示されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
同意
個人識別情報 (PII) PII の処理に対する本人の与えられた、具体的かつ十分な情報に基づいた同意
注記 1: 同意とは、PII 本人の所与の明確な決定または明確な積極的行動であり、PII 本人が PII の処理に関する一連の条件について知らされた後、この処理に対する同意を示すものです。
注記 2: PII の処理とは、その収集、使用、開示、保管、消去、転送などの操作を指します。
[出典:ISO/IEC 29100:2011, 2.4, 修正 – エントリに注 1 と 2 を追加]
3.2
同意の受領書
同意記録の確認として発行または提供される情報。記録およびその中の情報への参照が含まれる場合があります。
注記 1:同意受領書は、個人識別情報 (PII) の処理に関する個人識別情報 (PII) 本人による問い合わせや苦情を容易にし、PII 本人が PII に関連する権利を行使できるようにすることを目的としています。
3.3
同意記録
個人識別情報 (PII) の処理に対する本人の同意、および PII 処理通知を PII 本人が受諾した時期と方法を説明する情報記録
3.4
同意タイプ
個人識別情報 (PII) 本人が同意を表明する方法の説明
注記 1:同意の種類に関連する基準または条件は、法律、規制、標準、および分野固有のガイドラインから導き出すことができます。
注記 2:一般的に使用される同意のタイプは、明示的、明示的表現、暗黙的です。詳細については、ISO/IEC 29184:2020, 3.1 を参照してください。
参考文献
| 1 | 個人データの処理およびかかるデータの自由な移動に関する自然人の保護に関する、2016 年 4 月 27 日の欧州議会および理事会の規則 (EU) 2016/679, および反復指令 95/46/EC (一般データ保護規則) https://data.europa.eu/eli/reg/2016/679/oj |
| 2 | ISO 639-1:2002, 言語名の表現のためのコード — Part 1: Alpha-2 コード、 |
| 3 | ISO 8601-1:2019, 日時 — 情報交換の表現 — Part 1: 基本ルール、 |
| 4 | ISO 8601-2:2019, 日付と時刻 — 情報交換の表現 — Part 2: 拡張、 |
| 5 | ISO 3166-1:2020, 国およびその下位区分の名前を表すコード — Part 1: 国コード、 |
| 6 | ISO/IEC 27001: 2013, 1情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティ管理システム — 要件、 |
| 7 | ISO/IEC 27002:2022, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティ管理、 |
| 8 | ISO/IEC 27701:2019, セキュリティ技術 - プライバシー情報管理のための ISO/IEC 27001 および ISO/IEC 27002 の拡張 - 要件とガイドライン、 |
| 9 | 個人情報の保護に関する法律(平成15年法律第57号)(以下「APPI」)、日本 |
| 10 | フィリピン共和国 No Republic Act, 10173 (「データ プライバシー法」) |
| 11 | Receipt KC, V1.1:2018, Kantara Initiative Inc のコミュニティによって開発 https://kantarainitiative.org/download/7902/ |
| 12 | W3C データ プライバシー語彙 (DPV)、コミュニティ グループ レポート草案 https://w3id.org/dpv |
| 13 | グローバル プライバシー コントロール https://globalprivacycontrol.org/ |
| 14 | 2018年カリフォルニア州消費者プライバシー法 (CCPA) https://oag.ca.gov/privacy/ccpa |
| 15 | ISO 19160-4, 住所指定 — Part 4: 国際郵便住所コンポーネントとテンプレート言語 |
| 16 | P. Resnick 編、「インターネット メッセージ フォーマット」、RFC 5322, 2008 年 10 月 |
| 17 | ITU-T E.16, E シリーズ: 全体的なネットワーク運用、電話サービス、サービス運用および人的要因、E.100-E.229: 国際運用、E.160-E.169: 国際電話サービスの番号計画 |
| 18 | ISO/IEC 27701:—、 2セキュリティ技術 — プライバシー情報管理のための ISO/IEC 27001 および ISO/IEC 27002 の拡張 — 要件とガイドライン |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not received notice of (a) patent(s) which may be required to implement this document. However, implementers are cautioned that this may not represent the latest information, which may be obtained from the patent database available at www.iso.org/patents and https://patents.iec.ch . ISO and IEC shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
Introduction
This document specifies requirements and guidelines for organizations to record information about:
- consent obtained from individuals prior to collecting and processing personally identifiable information (PII); and
- the means by which individuals keep track of such content.
ISO/IEC 29184 specifies controls which shape the content and the structure of online privacy notices, and the process of asking for consent to collect and process PII from PII principals. ISO/IEC 29184 is focused on the obligations of the PII controller, or entities processing PII on behalf of the PII controller, to inform PII principals of how their PII is processed. ISO/IEC 29184 does not address the needs of PII principals.
This document builds upon ISO/IEC 29184 by addressing the concept of giving the PII principal a record for their own recordkeeping, which includes information about the PII processing agreement and interaction. We call this record the “consent receipt”.
This document specifies a structure that is used by both principals in consent management: namely a specification for data to be held by the organization to allow record-keeping with good integrity (subject to the defined controls), and an artefact (the “consent receipt”) that is given to the individual whose PII is being processed.
This document does not specify an exchange protocol for consent records or consent receipts, nor structures for such exchanges.
1 Scope
This document specifies an interoperable, open and extensible information structure for recording PII principals' consent to PII processing. This document provides requirements and recommendations on the use of consent receipts and consent records associated with a PII principal's PII processing consent, aiming to support the:
- provision of a record of the consent to the PII principal;
- exchange of consent information between information systems;
- management of the life cycle of the recorded consent.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 29100:2011, Information technology — Security techniques — Privacy framework
- ISO/IEC 29184:2020, Information technology — Online privacy notices and consent
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 29100, ISO/IEC 29184 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
consent
personally identifiable information (PII) principal’s freely given, specific, and informed agreement to the processing of their PII
Note 1 to entry: Consent is a freely given and unambiguous decision or a clear affirmative action of a PII principal by which the PII principal, after being informed about a set of terms for the processing of their PII, denotes an agreement to this processing.
Note 2 to entry: Processing of PII refers to operations such as its collection, use, disclosure, storage, erasure, or transfer.
[SOURCE:ISO/IEC 29100:2011, 2.4, modified – Notes 1 and 2 to entry have been added]
3.2
consent receipt
information issued or provided as an acknowledgement of consent record(s), which may contain a reference to the records and information within it
Note 1 to entry: The consent receipt is intended to facilitate inquiries or complaints by the personally identifiable information (PII) principal about the processing of PII, and for the PII principal to exercise rights related to their PII.
3.3
consent record
information record describing a personally identifiable information (PII) principal’s consent for processing of their PII, and the time and manner of a PII principal’s acceptance of their PII processing notice
3.4
consent type
description of the way in which consent is expressed by the personally identifiable information (PII) principal
Note 1 to entry: The criteria or conditions associated with consent type can be derived from laws, regulations, standards, and domain-specific guidelines.
Note 2 to entry: Commonly used types for consent are: explicit, explicitly expressed and implied. See ISO/IEC 29184:2020, 3.1 for further details.
Bibliography
| 1 | Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) https://data.europa.eu/eli/reg/2016/679/oj |
| 2 | ISO 639-1:2002, Codes for the representation of names of languages — Part 1: Alpha-2 code, |
| 3 | ISO 8601-1:2019, Date and time — Representations for information interchange — Part 1: Basic rules, |
| 4 | ISO 8601-2:2019, Date and time — Representations for information interchange — Part 2: Extensions, |
| 5 | ISO 3166-1:2020, Codes for the representation of names of countries and their subdivisions — Part 1: Country code, |
| 6 | ISO/IEC 27001:2013, 1Information security, cybersecurity and privacy protection — Information security management systems — Requirements, |
| 7 | ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection — Information security controls, |
| 8 | ISO/IEC 27701:2019, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines, |
| 9 | Act on the Protection of Personal Information, (Act No. 57 of 2003) (the “APPI”), Japan |
| 10 | No Republic Act, 10173, (the “Data Privacy Act”), Republic of the Philippines |
| 11 | Receipt K.C., V1.1:2018, developed by the community of the Kantara Initiative Inc https://kantarainitiative.org/download/7902/ |
| 12 | W3C Data Privacy Vocabulary (DPV), Draft Community Group Report https://w3id.org/dpv |
| 13 | Global Privacy Control https://globalprivacycontrol.org/ |
| 14 | California Consumer Privacy Act of, 2018 (CCPA) https://oag.ca.gov/privacy/ccpa |
| 15 | ISO 19160-4, Addressing — Part 4: International postal address components and template language |
| 16 | P. Resnick, Ed., “Internet Message Format”, RFC 5322, October 2008 |
| 17 | ITU-T E.164 (11/2010), E series: Overall network operation, telephone service, service operation and human factors, E.100-E.229: International operation, E.160-E.169: Numbering plan of the international telephone service |
| 18 | ISO/IEC 27701:—, 2Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines |