« EU/BCRとAPEC/CBPRの相互運用 | トップページ | マイナンバーが導入されたら市民として注意すべきことは何か? »

2015年6月 2日 (火)

米国NISTの考えるプライバシーリスクマネジメントはよい方向

米国NISTが「Privacy Risk Management for Federal Information Systems」という文書のドラフト版の意見募集をしています。
意見募集の告知:http://csrc.nist.gov/publications/PubsDrafts.html#NIST-IR-8062

 

ドラフト版文書:http://csrc.nist.gov/publications/drafts/nistir-8062/nistir_8062_draft.pdf

 

これまでの同類の文書でありがちだったのは、「PIA(プライバシー影響評価)という名のエゴ」で紹介したようなことでしたが、上記の文書は、これまでに比べて、以下のとおり相当まともです。

 

内容としては、まずリスクマネジメントの説明をしていますが、これは従来からの一般的な内容と変わりはありません。

 

特徴的なのは、Privacy Engineering Objectivesとして以下の3つをあげていることです。

 

 ・Predictability(予見性)
 ・Manageability(管理性)
 ・Disassociability(非関連性)

 

従来の、プライバシーリスクマネジメントは、本来は直接の観点ではないデータ・セキュリティのことになってしまっているところ、この文書は、データ・セキュリティは基礎的な要素として踏まえることとして、この文書の観点から除外して上記3つについてを説明しています。

 

日本語に翻訳するのが難しい用語ばかりを使われてしまいました(笑)が、これら3つによる整理はよくできていると思います。
ただ、これら3つに網羅性や体系性が十分であるかが気になるところですが、基本3要素的には、申し分ない要素だと思います。

 

追記:

その後、上記文書は、2017年に
NIST IR 8062 An Introduction to Privacy Engineering and Risk Management in Federal Systems
として発行され、その概要を示す
ITL Bulletin - Building the Bridge Between Privacy and Cybersecurity for Federal Systems
が公開されています。

6月 2, 2015 |

トラックバック


この記事へのトラックバック一覧です: 米国NISTの考えるプライバシーリスクマネジメントはよい方向:

コメント

コメントを書く