JISX9251 : 2021 情報技術−セキュリティ技術−プライバシー影響評価のためのガイドライン

X 9251：2021 (ISO/IEC 29134：2017)

目 次

ページ

序文 [ p.1 ]

1 適用範囲 [ p.2 ]

2 引用規格 [ p.2 ]

3 用語及び定義 [ p.3 ]

4 略語 [ p.5 ]

5 PIAの事前準備 [ p.5 ]

5.1 PIA実施の便益 [ p.5 ]

5.2 PIA報告の目的 [ p.6 ]

5.3 PIAを実施する責任（Accountability） [ p.7 ]

5.4 PIAの規模 [ p.8 ]

6 PIA実施プロセスのガイダンス [ p.8 ]

6.1 総論 [ p.8 ]

6.2 PIAの必要性の決定（しきい値分析） [ p.9 ]

6.3 PIAの準備 [ p.9 ]

6.4 PIAの実行 [ p.15 ]

6.5 PIAのフォローアップ [ p.25 ]

7 PIA報告書 [ p.27 ]

7.1 一般 [ p.27 ]

7.2 PIA報告書の構成 [ p.27 ]

7.3 PIAの範囲 [ p.28 ]

7.4 プライバシー要件 [ p.30 ]

7.5 リスクアセスメント [ p.30 ]

7.6 リスク対応計画 [ p.30 ]

7.7 結論及び意思決定 [ p.31 ]

7.8 PIAパブリックサマリ [ p.31 ]

附属書A（参考）影響レベル及び起こりやすさに関する評価基準 [ p.32 ]

附属書B（参考）一般的な脅威 [ p.34 ]

附属書C（参考）用語の理解に関するガイダンス [ p.38 ]

附属書D（参考）PIAプロセスをサポートする図解例 [ p.40 ]

参考文献 [ p.42 ]

X 9251：2021 (ISO/IEC 29134：2017)

まえがき

この規格は，産業標準化法第12条第1項の規定に基づき，一般財団法人日本情報経済社会推進協会

（JIPDEC）及び一般財団法人日本規格協会（JSA）から，産業標準原案を添えて日本産業規格を制定すべ

きとの申出があり，日本産業標準調査会の審議を経て，経済産業大臣が制定した日本産業規格である。

この規格は，著作権法で保護対象となっている著作物である。

この規格の一部が，特許権，出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本産業標準調査会は，このような特許権，出願公開後の特許出願及び実

用新案権に関わる確認について，責任はもたない。

日本産業規格 JIS

X 9251：2021

(ISO/IEC 29134：2017)

情報技術−セキュリティ技術−プライバシー影響評価のためのガイドライン

Information technology-Security techniques-Guidelines for privacy impact assessment

序文

この規格は，2017年に第1版として発行されたISO/IEC 29134を基に，技術的内容及び構成を変更する

ことなく作成した日本産業規格である。

なお，この規格で点線の下線を施してある参考事項は，対応国際規格にはない事項である。

プライバシー影響評価（以下，PIAという。）は，個人識別可能情報（以下，PIIという。）を処理するプ

ロセス，情報システム，プログラム，ソフトウェアモジュール，デバイス，その他の取組みにおけるプラ

イバシーに対する潜在的な影響をアセスメントするための手段であり，利害関係者と協議してプライバシ

ーリスクに対応するために必要な行動を起こすための手段である。PIA報告書には，JIS Q 27001における

情報セキュリティマネジメントシステム（以下，ISMSという。）の使用による措置など，リスク対応のた

めの措置に関する文書が含まれている場合がある。PIAは単なるツール以上のものである。取組みの可能

な限り早い段階から始まるプロセスであり，取組みの結果に影響を及ぼす機会がまだあることから，プラ

イバシーバイデザインを確実にするものである。PIAは，プロジェクトが展開されるまで，さらに，その

後も継続するプロセスである。

取組みは，規模及び影響において大きく異なる。“プライバシー”の下に置かれる目標は，文化，社会的

期待，及び法域に依存する。この規格は，全ての取組みに適用できる拡張性のあるガイダンスを提供する

ことを目的としている。全ての状況に対応するガイダンスは規範的なものではないため，この規格のガイ

ダンスは個々の状況を尊重し解釈するのがよい。

PII管理者は，PIAを実施する責任を負うことがあるが，PII管理者の代行であるPII処理者にこれを支

援するよう求める場合もある。PII処理者又はデジタルデバイスの利用者向け提供者は，自らPIAを実施

することもある。

供給者のPIA情報は，デジタル接続されたデバイスが，アセスメント対象の情報システム，アプリケー

ション，又はプロセスの一部である場合に特に関係する。そのようなデバイスの供給者は，PIAを実施す

る者にプライバシー関連の設計情報を提供することが必要になる場合がある。デジタルデバイスの利用者

向け提供者が，PIAに熟練しておらず，PIAのためにリソースをもたない場合がある。

例えば，次のような組織が，通常の事業運営にデジタル接続されたデバイスを使用する。

− 小規模な小売事業者

− 中小企業（SME）

これらの組織が，最低限のPIA活動を行うことができるように，デバイス供給者は，供給する機器につ

いて予想されるPII主体及び／又は中小企業の状況に関して，多くのプライバシーに関する情報を提供，

2

X 9251：2021 (ISO/IEC 29134：2017)

及び独自のPIAを実施するよう求められる場合がある。

PIAは通常，責任を真摯に受け止め，PII主体を適切に扱う組織によって実施される。一部の法域では，

法的及び規制的要件を満たすためにPIAが必要となる場合がある。

この規格は，プロセス，情報システム，又はプログラムに関する事項がPII主体へのプライバシーの影

響に含まれている，次のような場合に使用することを意図している。

− プロセス，情報システム又はプログラムの，実装及び／又は納入の責任が，他の組織と共有され，各

組織が特定されたリスクに適切に対応することを保証するのがよい場合。

− 組織が，（JIS Q 27001又は同等のマネジメントシステムに従って確立された）情報セキュリティマネ

ジメントシステムの実施又は改善を準備しながら，全体のリスクマネジメントの努力の一環としてプ

ライバシーリスクマネジメントを実施している，又は組織がプライバシーリスクマネジメントを独立

した機能として実行している場合。

− 将来のPII管理者となる組織が決まっていない取組み（例えば，官民パートナーシッププログラム）

を，組織（例えば，政府）が実施し，対応計画が直接実施できない場合，代わりにこれを対応する法

律，規制，又は契約の一部とするのがよい場合。

− 組織が，PII主体に対して責任を負うことを望んでいる場合。

プライバシー影響分析を実施する中で，特定されたリスクに対応するために必要と考えられる管理策は，

JIS Q 27002（セキュリティ管理策），及びISO/IEC 29151（PII保護管理策），又は同等の国内標準を含む複

数の管理策の組合せから得られる場合がある。また，それらは，他の管理策の組合せとは無関係に，PIA

実施の責任者が定義する場合もある。

1

適用範囲

この規格は，次の事項に関するガイドラインを示す。

− プライバシー影響評価のプロセス

− PIA報告書の構成及び内容

これは，公開企業，非公開企業，政府機関及び非営利団体を含む，あらゆる種類及び規模の組織に適用

することができる。

この規格は，PIIを処理するデータ処理システム及びサービスを運営する当事者を含む，プロジェクトの

設計又は実装に関わる者に関係する。

注記 この規格の対応国際規格及びその対応の程度を表す記号を，次に示す。

ISO/IEC 29134:2017，Information technology−Security techniques−Guidelines for privacy impact

assessment（IDT）

なお，対応の程度を表す記号“IDT”は，ISO/IEC Guide 21-1に基づき，“一致している”こ

とを示す。

2

引用規格

次に掲げる規格は，この規格に引用されることによって，この規格の規定の一部を構成する。これらの

引用規格は，記載の年の版を適用し，その後の改正版（追補を含む。）は適用しない。

JIS Q 0073:2010 リスクマネジメント−用語

注記 対応国際規格：ISO Guide 73:2009，Risk management−Vocabulary

JIS X 9250:2017 情報技術−セキュリティ技術−プライバシーフレームワーク（プライバシー保護の