米国NISTの考えるプライバシーリスクマネジメントはよい方向
米国NISTが「Privacy Risk Management for Federal Information Systems」という文書のドラフト版の意見募集をしています。
意見募集の告知:http://csrc.nist.gov/publications/PubsDrafts.html#NIST-IR-8062
ドラフト版文書:http://csrc.nist.gov/publications/drafts/nistir-8062/nistir_8062_draft.pdf
これまでの同類の文書でありがちだったのは、「PIA(プライバシー影響評価)という名のエゴ」で紹介したようなことでしたが、上記の文書は、これまでに比べて、以下のとおり相当まともです。
内容としては、まずリスクマネジメントの説明をしていますが、これは従来からの一般的な内容と変わりはありません。
特徴的なのは、Privacy Engineering Objectivesとして以下の3つをあげていることです。
・Predictability(予見性)
・Manageability(管理性)
・Disassociability(非関連性)
従来の、プライバシーリスクマネジメントは、本来は直接の観点ではないデータ・セキュリティのことになってしまっているところ、この文書は、データ・セキュリティは基礎的な要素として踏まえることとして、この文書の観点から除外して上記3つについてを説明しています。
日本語に翻訳するのが難しい用語ばかりを使われてしまいました(笑)が、これら3つによる整理はよくできていると思います。
ただ、これら3つに網羅性や体系性が十分であるかが気になるところですが、基本3要素的には、申し分ない要素だと思います。
6月 2, 2015 | Permalink
コメント