JIS X 9251:2021 情報技術―セキュリティ技術―プライバシー影響評価のためのガイドライン

                                                                X 9251 : 2021 (ISO/IEC 29134 : 2017)

pdf 目 次

ページ

•  序文・・・・[1]
•  1 適用範囲・・・・[2]
•  2 引用規格・・・・[2]
•  3 用語及び定義・・・・[3]
•  4 略語・・・・[5]
•  5 PIAの事前準備・・・・[5]
•  5.1 PIA実施の便益・・・・[5]
•  5.2 PIA報告の目的・・・・[6]
•  5.3 PIAを実施する責任(Accountability)・・・・[7]
•  5.4 PIAの規模・・・・[8]
•  6 PIA実施プロセスのガイダンス・・・・[8]
•  6.1 総論・・・・[8]
•  6.2 PIAの必要性の決定(しきい値分析)・・・・[9]
•  6.3 PIAの準備・・・・[9]
•  6.4 PIAの実行・・・・[15]
•  6.5 PIAのフォローアップ・・・・[25]
•  7 PIA報告書・・・・[27]
•  7.1 一般・・・・[27]
•  7.2 PIA報告書の構成・・・・[27]
•  7.3 PIAの範囲・・・・[28]
•  7.4 プライバシー要件・・・・[30]
•  7.5 リスクアセスメント・・・・[30]
•  7.6 リスク対応計画・・・・[30]
•  7.7 結論及び意思決定・・・・[31]
•  7.8 PIAパブリックサマリ・・・・[31]
•  附属書A(参考)影響レベル及び起こりやすさに関する評価基準・・・・[32]
•  附属書B(参考)一般的な脅威・・・・[34]
•  附属書C(参考)用語の理解に関するガイダンス・・・・[38]
•  附属書D(参考)PIAプロセスをサポートする図解例・・・・[40]
•  参考文献・・・・[42]

(pdf 一覧ページ番号 1)

――――― [JIS X 9251 pdf 1] ―――――

           X 9251 : 2021 (ISO/IEC 29134 : 2017)

まえがき

  この規格は,産業標準化法第12条第1項の規定に基づき,一般財団法人日本情報経済社会推進協会
(JIPDEC)及び一般財団法人日本規格協会(JSA)から,産業標準原案を添えて日本産業規格を制定すべ
きとの申出があり,日本産業標準調査会の審議を経て,経済産業大臣が制定した日本産業規格である。
  この規格は,著作権法で保護対象となっている著作物である。
  この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本産業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。

(pdf 一覧ページ番号 2)

――――― [JIS X 9251 pdf 2] ―――――

                                      日本産業規格                            JIS
                                                                              X 9251 : 2021
                                                                       (ISO/IEC 29134 : 2017)

情報技術−セキュリティ技術−プライバシー影響評価のためのガイドライン

Information technology-Security techniques- Guidelines for privacy impact assessment

序文

  この規格は,2017年に第1版として発行されたISO/IEC 29134を基に,技術的内容及び構成を変更する
ことなく作成した日本産業規格である。
  なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。
  プライバシー影響評価(以下,PIAという。)は,個人識別可能情報(以下,PIIという。)を処理するプ
ロセス,情報システム,プログラム,ソフトウェアモジュール,デバイス,その他の取組みにおけるプラ
イバシーに対する潜在的な影響をアセスメントするための手段であり,利害関係者と協議してプライバシ
ーリスクに対応するために必要な行動を起こすための手段である。PIA報告書には,JIS Q 27001における
情報セキュリティマネジメントシステム(以下,ISMSという。)の使用による措置など,リスク対応のた
めの措置に関する文書が含まれている場合がある。PIAは単なるツール以上のものである。取組みの可能
な限り早い段階から始まるプロセスであり,取組みの結果に影響を及ぼす機会がまだあることから,プラ
イバシーバイデザインを確実にするものである。PIAは,プロジェクトが展開されるまで,さらに,その
後も継続するプロセスである。
  取組みは,規模及び影響において大きく異なる。“プライバシー”の下に置かれる目標は,文化,社会的
期待,及び法域に依存する。この規格は,全ての取組みに適用できる拡張性のあるガイダンスを提供する
ことを目的としている。全ての状況に対応するガイダンスは規範的なものではないため,この規格のガイ
ダンスは個々の状況を尊重し解釈するのがよい。
  PII管理者は,PIAを実施する責任を負うことがあるが,PII管理者の代行であるPII処理者にこれを支
援するよう求める場合もある。PII処理者又はデジタルデバイスの利用者向け提供者は,自らPIAを実施
することもある。
  供給者のPIA情報は,デジタル接続されたデバイスが,アセスメント対象の情報システム,アプリケー
ション,又はプロセスの一部である場合に特に関係する。そのようなデバイスの供給者は,PIAを実施す
る者にプライバシー関連の設計情報を提供することが必要になる場合がある。デジタルデバイスの利用者
向け提供者が,PIAに熟練しておらず,PIAのためにリソースをもたない場合がある。
  例えば,次のような組織が,通常の事業運営にデジタル接続されたデバイスを使用する。
− 小規模な小売事業者
− 中小企業(SME)
  これらの組織が,最低限のPIA活動を行うことができるように,デバイス供給者は,供給する機器につ
いて予想されるPII主体及び/又は中小企業の状況に関して,多くのプライバシーに関する情報を提供,

――――― [JIS X 9251 pdf 3] ―――――

           2
X 9251 : 2021 (ISO/IEC 29134 : 2017)
及び独自のPIAを実施するよう求められる場合がある。
  PIAは通常,責任を真摯に受け止め,PII主体を適切に扱う組織によって実施される。一部の法域では,
法的及び規制的要件を満たすためにPIAが必要となる場合がある。
  この規格は,プロセス,情報システム,又はプログラムに関する事項がPII主体へのプライバシーの影
響に含まれている,次のような場合に使用することを意図している。
− プロセス,情報システム又はプログラムの,実装及び/又は納入の責任が,他の組織と共有され,各
    組織が特定されたリスクに適切に対応することを保証するのがよい場合。
− 組織が,(JIS Q 27001又は同等のマネジメントシステムに従って確立された)情報セキュリティマネ
    ジメントシステムの実施又は改善を準備しながら,全体のリスクマネジメントの努力の一環としてプ
    ライバシーリスクマネジメントを実施している,又は組織がプライバシーリスクマネジメントを独立
    した機能として実行している場合。
− 将来のPII管理者となる組織が決まっていない取組み(例えば,官民パートナーシッププログラム)
    を,組織(例えば,政府)が実施し,対応計画が直接実施できない場合,代わりにこれを対応する法
    律,規制,又は契約の一部とするのがよい場合。
− 組織が,PII主体に対して責任を負うことを望んでいる場合。
  プライバシー影響分析を実施する中で,特定されたリスクに対応するために必要と考えられる管理策は,
JIS Q 27002(セキュリティ管理策),及びISO/IEC 29151(PII保護管理策),又は同等の国内標準を含む複
数の管理策の組合せから得られる場合がある。また,それらは,他の管理策の組合せとは無関係に,PIA
実施の責任者が定義する場合もある。

1 適用範囲

  この規格は,次の事項に関するガイドラインを示す。
− プライバシー影響評価のプロセス
− PIA報告書の構成及び内容
  これは,公開企業,非公開企業,政府機関及び非営利団体を含む,あらゆる種類及び規模の組織に適用
することができる。
  この規格は,PIIを処理するデータ処理システム及びサービスを運営する当事者を含む,プロジェクトの
設計又は実装に関わる者に関係する。
    注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
          ISO/IEC 29134:2017,Information technology−Security techniques−Guidelines for privacy impact
              assessment(IDT)
            なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
          とを示す。

2 引用規格

  次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの
引用規格は,記載の年の版を適用し,その後の改正版(追補を含む。)は適用しない。
    JIS Q 0073:2010 リスクマネジメント−用語
      注記 対応国際規格 : ISO Guide 73:2009,Risk management−Vocabulary
    JIS X 9250:2017 情報技術−セキュリティ技術−プライバシーフレームワーク(プライバシー保護の

――――― [JIS X 9251 pdf 4] ―――――

                                                                                             3
                                                                X 9251 : 2021 (ISO/IEC 29134 : 2017)
        枠組み及び原則)
      注記 対応国際規格 : ISO/IEC 29100:2011,Information technology−Security techniques−Privacy
             framework
    ISO/IEC 27000:2016,Information technology−Security techniques−Information security management
        systems−Overview and vocabulary
      注記 この国際規格に対応するJIS Q 27000:2019(情報技術−セキュリティ技術−情報セキュリテ
             ィマネジメントシステム−用語)は,ISO/IEC 27000:2018に対応しているため,国際規格を
             引用した。

3 用語及び定義

  この規格で用いる用語及び定義は,JIS Q 0073:2010,JIS X 9250:2017及びISO/IEC 27000:2016によるほ
か,次による。
  ISO及びIECは,次のアドレスで標準化に使用するための専門用語のデータベースを維持している。
− ISO Online Browsing Platform: https://www.iso.org/obp
− IEC Electropedia: http://www.electropedia.org/
3.1
受容ステートメント(acceptance statement)
  リスク管理責任者であること,リスク対応及び残留リスクに責任を負う公式なマネジメントの宣言。
3.2
資産(asset)
  個人識別可能情報(PII)の処理に関係する人にとって価値のあるもの全て。
    注記 プライバシーリスクマネジメントプロセスの文脈において,資産はPII又はサポートする資産
          (附属書Bを参照)のいずれかである。
3.3
評価者(assessor)
  プライバシー影響評価(3.7)を指揮及び実施する者。
    注記1 他の1名以上の内部及び/又は外部の専門家が,チームの一員として評価者を支援すること
            も可能である。
    注記2 評価者は,組織の内部又は外部の専門家でも可能である。
3.4
プロセス(process)
  インプットをアウトプットに変換する,相互に関連する又は相互に作用する一連の活動。
  (ISO/IEC専門業務用指針第1部の統合版ISO補足指針2014年版の3.12参照)
3.5
デバイス(device)
  利用者が行動を実行できるようにする,ハードウェア及びソフトウェアの組合せ,又はソフトウェア単
体。
3.6
プライバシー影響(privacy impact)
  PII主体及び/又はPII主体のグル−プのプライバシーに影響を与えるもの。

――――― [JIS X 9251 pdf 5] ―――――

次のページ PDF 6