JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項 | ページ 2

                                                                                              3
                                                                                  Q 15001 : 2017
  計画した活動を実行し,計画した結果を達成した程度。
  (JIS Q 27000:2014の2.24参照)
3.7
方針
  トップマネジメント(3.5)によって正式に表明された組織(3.1)の意図及び方向付け。
  (JIS Q 27000:2014の2.60参照)
3.8
目的
  達成する結果。
    注記1 目的は,戦略的,戦術的又は運用的であり得る。
    注記2 目的は,様々な領域(例えば,財務,安全衛生,環境)の到達点に関連し得るものであり,
            様々な階層[例えば,戦略的レベル,組織全体,プロジェクト単位,製品ごと,プロセス(3.12)
            ごと]で適用できる。
    注記3 目的は,例えば,予定された成果,意図,運用基準など,別の形で表現することもできる。
            また,個人情報保護目的という表現の仕方もある。又は,同じような意味をもつ別の言葉(例
            狙い,到達点,目標)で表すこともできる。
    注記4 個人情報保護マネジメントシステムの場合,組織は,特定の結果を達成するため,内部向け
            個人情報保護方針と整合のとれた個人情報保護目的を設定する。
3.9
リスク
  目的に対する不確かさの影響。
    注記1 影響とは,期待されていることから,好ましい方向又は好ましくない方向にかい(乖)離す
            ることをいう。
    注記2 不確かさとは,事象(3.28),その結果(3.24)又はその起こりやすさ(3.29)に関する,情
            報,理解又は知識が,たとえ部分的にでも欠落している状態をいう。
    注記3 リスクは,起こり得る事象(3.28),結果(3.24)又はこれらの組合せについて述べることに
            よって,その特徴を記述することが多い。
    注記4 リスクは,ある事象(周辺状況の変化を含む。)の結果とその発生の起こりやすさ(3.29)と
            の組合せとして表現されることが多い。
3.10
力量
  意図した結果を達成するために,知識及び技能を適用する能力。
  (JIS Q 27000:2014の2.11参照)
3.11
文書化した情報
  組織(3.1)によって,管理及び維持されるように要求されている情報,並びにそれが含まれている媒体。
  (JIS Q 27000:2014の2.23参照)
    注記1 文書化した情報は,あらゆる形式及び媒体の形をとることができ,あらゆる情報源から得る
            ことができる。
    注記2 文書化した情報には,次に示すものを参照することができる。

――――― [JIS Q 15001 pdf 6] ―――――

4
Q 15001 : 2017
            − 関連するプロセス(3.12)を含むマネジメントシステム(3.4)
            − 組織の運用のために作成された情報(文書類)
            − 達成された結果の証拠(記録)
3.12
プロセス
  インプットをアウトプットに変換する,相互に関連する又は相互に作用する一連の活動。
  (JIS Q 27000:2014の2.61参照)
3.13
パフォーマンス
  測定可能な結果。
  (JIS Q 27000:2014の2.59参照)
    注記1 パフォーマンスは,定量的又は定性的な所見のいずれにも関連し得る。
    注記2 パフォーマンスは,活動,プロセス(3.12),製品(サービスを含む。),システム,又は組織
            (3.1)の運営管理に関連し得る。
3.14
監視
  システム,プロセス(3.12)又は活動の状況を明確にすること。
  (JIS Q 27000:2014の2.52参照)
    注記 状況を明確にするために,点検,監督,又は注意深い観察が必要な場合もある。
3.15
測定
  値を決定するためのプロセス(3.12)。
3.16
監査
  監査基準が満たされている程度を判定するために,監査証拠を収集し,それを客観的に評価するための,
体系的で,独立し,文書化したプロセス(3.12)。
  (JIS Q 27000:2014の2.5参照)
    注記1 監査は,内部監査(第一者)若しくは外部監査(第二者・第三者)のいずれでも,又は複合
            監査(複数の分野の組合せ)であってもよい。
    注記2 “監査証拠”及び“監査基準”は,JIS Q 19011に定義されている。
3.17
適合
  要求事項(3.3)を満たしていること。
  (JIS Q 27000:2014の2.13参照)
3.18
不適合
  要求事項(3.3)を満たしていないこと。
  (JIS Q 27000:2014の2.53参照)
3.19
是正処置

――――― [JIS Q 15001 pdf 7] ―――――

                                                                                              5
                                                                                  Q 15001 : 2017
  不適合(3.18)の原因を除去し,再発を防止するための処置。
  (JIS Q 27000:2014の2.19参照)
3.20
継続的改善
  パフォーマンス(3.13)を向上するために繰り返し行われる活動。
  (JIS Q 27000:2014の2.15参照)
3.21
分析モデル
  一つ以上の基本測定量(3.23)及び/又は導出測定量(3.27)をそれに関連する判断基準と結合するアル
ゴリズム又は計算。
  (JIS Q 27000:2014の2.2参照)
3.22
属性
  人手又は自動的な手段によって,定量的又は定性的に識別できる対象物(3.33)の特性又は特徴。
  (JIS Q 27000:2014の2.4参照)
3.23
基本測定量
  単一の属性(3.22)とそれを定量化するための方法とで定義した測定量(3.30)。
  (JIS Q 27000:2014の2.10参照)
    注記 基本測定量は,他の測定量と機能的に独立した測定量をいう。
3.24
結果
  目的(3.8)に影響を与える事象(3.28)の結末。
  (JIS Q 27000:2014の2.14参照)
    注記1 一つの事象が,様々な結果につながることがある。
    注記2 結果は,確かなことも不確かなこともある。個人情報保護の文脈において,結果は,通常,
            好ましくないものである。
    注記3 結果は,定性的にも定量的にも表現されることがある。
    注記4 初期の結果が,連鎖によって,段階的に増大することがある。
3.25
管理策
  リスク(3.9)を修正する対策。
  (JIS Q 27000:2014の2.16参照)
    注記1 管理策には,リスクを修正するためのあらゆるプロセス,方針,仕掛け,実務,その他の処
            置を含む。
    注記2 管理策が,常に意図又は想定した修正効果を発揮するとは限らない。
3.26
判断基準
  アクション若しくは追加調査の必要性を決めるため又は与えられた結果の信頼度のレベルを記述するた
めに使う,しきい(閾)値,目標又はパターン。

――――― [JIS Q 15001 pdf 8] ―――――

6
Q 15001 : 2017
  (JIS Q 27000:2014の2.21参照)
3.27
導出測定量
  複数の基本測定量(3.23)の値の関数として定義した測定量(3.30)。
  (JIS Q 27000:2014の2.22参照)
3.28
事象
  ある特有な状況の出現又は変化。
  (JIS Q 27000:2014の2.25参照)
    注記1 事象は,発生が一度以上であることがあり,幾つかの原因をもつことがある。
    注記2 事象は,何かが起こらないことを含むことがある。
    注記3 事象は,“インシデント”又は“事故”と呼ばれることがある。
3.29
起こりやすさ
  何かが起こる見込み。
  (JIS Q 27000:2014の2.45参照)
3.30
測定量
  測定(3.15)の結果として値が割り当てられる変数。
  (JIS Q 27000:2014の2.47参照)
    注記 “測定量”という用語は,基本測定量,導出測定量及び指標をまとめて参照するために使うこ
          とがある。
3.31
測定の関数
  複数の基本測定量(3.23)を結合するために遂行するアルゴリズム又は計算。
  (JIS Q 27000:2014の2.49参照)
3.32
測定方法
  特定の尺度(3.34)に関して属性(3.22)を定量化するために使う一連の操作の論理的な順序を一般的に
記述したもの。
  (JIS Q 27000:2014の2.50参照)
    注記 測定方法の類型は,属性を定量化するために使う操作の性質による。これには,次の二つの類
          型がある。
          − 主観的 人間の判断を含んだ定量化
          − 客観的 数値的な規則に基づいた定量化
3.33
対象物
  属性(3.22)の測定(3.15)を通して特徴付けられるもの。
  (JIS Q 27000:2014の2.55参照)

――――― [JIS Q 15001 pdf 9] ―――――

                                                                                              7
                                                                                  Q 15001 : 2017
3.34
尺度
  連続的若しくは離散的な値の順序集合又は分類の集合で,それに属性(3.22)を対応付けるもの。
  (JIS Q 27000:2014の2.80参照)
    注記 尺度の類型は,尺度上の値同士の関係による。一般には次の4種類の尺度を定義する。
          − 名義尺度 測定値は,分類した結果を示す。
          − 順序尺度 測定値は,離散的な階級に分けた結果を示す。
          − 間隔尺度 測定値は,属性の等しい量に対応して等しい距離を示す。
          − 比尺度 測定値は,属性の等しい量に対応して等しい距離を示し,ゼロという値は,その
              属性に対応するものが存在しないことを表す。
                これらは,尺度の類型の例でしかない。
3.35
脅威
  システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因。
  (JIS Q 27000:2014の2.83参照)
3.36
ぜい弱性
  一つ以上の脅威(3.35)によって付け込まれる可能性のある,資産又は管理策(3.25)の弱点。
  (JIS Q 27000:2014の2.89参照)
3.37
残留リスク
  リスク対応(3.38)後に残っているリスク(3.9)。
  (JIS Q 27000:2014の2.64参照)
    注記1 残留リスクには,特定されていないリスクが含まれ得る。
    注記2 残留リスクは,“保有リスク”ともいう。
3.38
リスク対応
  リスク(3.9)を修正するプロセス(3.12)。
  (JIS Q 27000:2014の2.79参照)
    注記1 リスク対応には,次の事項を含むことがある。
            − リスクを生じさせる活動を,開始又は継続しないと決定することによって,リスクを回
                避すること。
            − ある機会を追求するために,リスクをとる又は増加させること。
            − リスク源を除去すること。
            − 起こりやすさを変えること。
            − 結果を変えること。
            − 一つ以上の他者とリスクを共有すること(契約及びリスクファイナンシングを含む。)。
            − 情報に基づいた選択によって,リスクを保有すること。
    注記2 好ましくない結果に対処するリスク対応は,“リスク軽減”,“リスク排除”,“リスク予防”及
            び“リスク低減”と呼ばれることがある。

――――― [JIS Q 15001 pdf 10] ―――――

次のページ PDF 11