JIS X 9250:2017 情報技術―セキュリティ技術―プライバシーフレームワーク（プライバシー保護の枠組み及び原則）

                                                                X 9250 : 2017 (ISO/IEC 29100 : 2011)

pdf 目 次

ページ

•  序文・・・・[1]
•  1 適用範囲・・・・[2]
•  2 用語及び定義・・・・[2]
•  3 記号及び略語・・・・[6]
•  4 プライバシーフレームワークの基本要素・・・・[6]
•  4.1 プライバシーフレームワークの概要・・・・[6]
•  4.2 登場者(actor)及び役割・・・・[6]
•  4.3 インタラクション・・・・[7]
•  4.4 Pllの認識・・・・[8]
•  4.5 プライバシー安全対策要件・・・・[12]
•  4.6 プライバシーポリシー・・・・[15]
•  4.7 プライバシー管理策・・・・[16]
•  5 この規格におけるプライバシー原則・・・・[16]
•  5.1 プライバシー原則の概要・・・・[16]
•  5.2 同意及び選択(Consent and choice)・・・・[17]
•  5.3 目的の正当性及び明確化(Purpose legitimacy and specification)・・・・[18]
•  5.4 収集制限(Collection limitation)・・・・[18]
•  5.5 データの最小化(Data minimization)・・・・[18]
•  5.6 利用,保持及び開示の制限(Use, retention and disclosure limitation)・・・・[19]
•  5.7 正確性及び品質(Accuracy and quality)・・・・[19]
•  5.8 公開性,透明性及び通知(Openness, transparency and notice)・・・・[19]
•  5.9 個人参加及びアクセス(Individual participation and access)・・・・[20]
•  5.10 責任(Accountability)・・・・[20]
•  5.11 情報セキュリティ(Information security)・・・・[21]
•  5.12 プライバシーコンプライアンス(Privacy compliance)・・・・[22]
•  附属書A(参考)この規格の概念とJIS Q 27000の概念との対応表・・・・[23]
•  参考文献・・・・[24]

(pdf 一覧ページ番号 1)

――――― [JIS X 9250 pdf 1] ―――――

X 9250 : 2017 (ISO/IEC 29100 : 2011)

まえがき

  この規格は,工業標準化法第12条第1項の規定に基づき,一般財団法人日本情報経済社会推進協会
(JIPDEC)及び一般財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格(日本産業規格)を制定すべ
きとの申出があり,日本工業標準調査会の審議を経て,経済産業大臣が制定した日本工業規格(日本産業規格)である。
  この規格は,著作権法で保護対象となっている著作物である。
  この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。

(pdf 一覧ページ番号 2)

――――― [JIS X 9250 pdf 2] ―――――

                                       日本工業規格(日本産業規格)                             JIS
                                                                              X 9250 : 2017
                                                                       (ISO/IEC 29100 : 2011)

情報技術−セキュリティ技術−プライバシーフレームワーク(プライバシー保護の枠組み及び原則)

Information technology-Security techniques-Privacy framework

序文

  この規格は,2011年に第1版として発行されたISO/IEC 29100を基にして,技術的な内容及び構成を変
更することなく作成した日本工業規格(日本産業規格)である。
  なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。
  この規格は,情報通信技術(以下,ICTという。)システムにおける個人識別可能情報(以下,PIIとい
う。)の保護のための概念レベルの枠組み(フレームワーク)を提供する。この規格は一般論であり,組織
の観点,技術の観点,及び手続の観点から,プライバシーフレームワーク全体を扱うものである。
  本プライバシーフレームワークは,組織が,ICT環境におけるPIIに関連するプライバシー安全対策要
件を定義するための一助となることを目的として,次の事項を提供する。
− 一般的なプライバシーについての用語の規定
− PIIの処理における登場者(actor)及びその役割の定義
− プライバシー安全対策要件の説明
− 既知のプライバシー原則のリファレンス
  この規格が参照するプライバシー安全対策要件は,一部の法域では,PIIを保護するための法的要求事項
を補完するものとみなされるかもしれない。PIIを処理するICTの増加に伴い,PIIの保護についての共通
理解を提供する国際的な情報セキュリティ標準が重要である。この規格は,PII処理に関連する事項に焦点
を当てることによって,既存のセキュリティ標準を拡張することを目的としている。
  PIIの商業利用及び商業的価値の増加,法域をまたがるPIIの共有,及びICTシステムの複雑化によって,
組織にとってプライバシーを保障し様々な適用される法令との整合性を確保することが難しくなっている。
プライバシー利害関係者は,プライバシーの問題を適切に扱い,PIIの誤った利用を避けることによって,
不確かさ及び不信感を回避することができる。
  この規格を利用することによって次の事項が実現される。
− PIIを扱い,かつ,保護する,ICTシステムの設計,実装,運用及び保守における手助けとなる。
− ICTシステムにおけるPII保護を可能にする革新的な解決策を促進する。
− ベストプラクティスの利用を通じて,組織のプライバシープログラムを改善する。
  この規格で提供されるプライバシーフレームワークは,例えば,次に示すような更なるプライバシーの

――――― [JIS X 9250 pdf 3] ―――――

2
X 9250 : 2017 (ISO/IEC 29100 : 2011)
標準化の取組の基礎として役立てることができる。
− 技術的なアーキテクチャのリファレンス
− 具体的なプライバシー技術の実装及び利用,並びに全体的なプライバシーマネジメント
− 外部委託したデータ処理のプライバシー管理策
− プライバシーリスクアセスメント
− 具体的な工業規格
  一部の法域では,ISO/IEC JTC 1/SC 27 WG 5 Standing Document 2 (WG 5 SD2)−Official Privacy
Documents References [3]で参照される幾つかの文書,又は他の適用される法令及び規制の遵守が要求され
るかもしれない。ただし,この規格は,世界的なポリシーのひな(雛)形又は法的枠組みとなることを目
的とするものではない。

1 適用範囲

  この規格は,一つのプライバシーフレームワークを提供する。
    注記 この規格では,次に示す事項の全てを含むものをプライバシーフレームワークと呼ぶ。
− 一般的なプライバシーについての用語を規定する。
− PIIの処理における登場者(actor)及びその役割を定義する。
− プライバシー安全対策の実施における考慮点を説明する。
− 情報技術に関する既知のプライバシー原則のリファレンスを提供する。
  この規格は,PII処理のためにプライバシー管理策が必要となるICTシステム又はサービスについて,
仕様の策定,調達,設計,デザイン,開発,試験,維持,管理及び運用に関与する個人及び組織に適用す
ることができる。
    注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
          ISO/IEC 29100:2011,Information technology−Security techniques−Privacy framework(IDT)
            なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
          とを示す。

2 用語及び定義

  この規格で用いる主な用語及び定義は,次による。
    注記 具体的なプライバシーの文脈でJIS Q 27000シリーズの使用が容易になるように,かつ,JIS Q
          27000の文脈にプライバシーの概念を組み込みやすいように,附属書Aの対応表では,この規
          格で使用される概念に対応するJIS Q 27000の概念について示す。
2.1
匿名性(anonymity)
  PII主体(2.11)を直接又は間接に識別する(2.6)ことを許さない情報の特徴。
2.2
匿名化(anonymization)
  PII主体を直接又は間接に識別することができないように,PII(2.9)を非可逆的に変更するプロセスで
あって,PII管理者(2.10)が単独又は他の者と共同で行っても再識別することができないプロセス。

――――― [JIS X 9250 pdf 4] ―――――

                                                                                              3
                                                                X 9250 : 2017 (ISO/IEC 29100 : 2011)
2.3
匿名化データ(anonymized data)
  PIIの匿名化プロセスの結果として生成されたデータ。
2.4
同意(consent)
  PII主体による,自分のPIIを処理されることへの,具体的かつ十分な説明を受けた上での自発的な合意。
2.5
識別可能性(identifiability)
  与えられたPIIの集合に基づいて,PII主体が直接又は間接に識別される状態。
2.6
識別する(identify)
  PII主体と,PII又はPIIの集合とをひも(紐)付ける。
2.7
識別要素(identity)
  PII主体を識別することができる,属性の集合。
2.8
オプトイン(opt-in)
  自分のPIIが特定の目的のために処理されることに対して,PII主体が明示的な事前の同意を表明しなけ
ればならない,プロセス又はポリシーの種類。
    注記 プライバシー原則(2.18)の“同意及び選択(consent and choice)”に関して使われることが多
          い他の用語として,“オプトアウト(opt-out)”がある。これは,PII主体が同意を保留若しくは
          撤回,又は特定の処理を拒否するために,別の行動をとることを要求するプロセス又はポリシ
          ーを指す。オプトアウトポリシーを使用する場合には,PII管理者が自分の意図のとおりにPII
          を処理する権利をもっていることが前提となる。この権利は,同意とは異なるPII主体の幾つ
          かの行動(例 オンラインショップでの発注)によって発生するものと考えられる。
2.9
個人識別可能情報,PII(personally identifiable information, PII)
  a) その情報に関連するPII主体を識別するために利用され得る情報,又はb)   II主体に直接若しくは間
接にひも(紐)付けられるか又はその可能性がある情報。
    注記 PII主体が識別可能か否かを判断するには,その個人を識別するためにそのデータを保有するプ
          ライバシー利害関係者(2.22),又は他の者が合理的に利用することができる,全ての手段を考
          慮するのがよい。
2.10
PII管理者(PII controller)
  私的な目的でデータを使う個人を除く,PIIを処理するための目的及び手段を決定するプライバシー利害
関係者。
    注記 PII管理者は,PIIの処理を代行するよう他の者[例 PII処理者(2.12)]に指示することがあ
          る。この処理の責任は,依然としてPII管理者にある。
2.11
PII主体(PII principal)

――――― [JIS X 9250 pdf 5] ―――――

次のページ PDF 6