米国NISTの考えるプライバシーリスクマネジメントはよい方向

米国NISTが「Privacy Risk Management for Federal Information Systems」という文書のドラフト版の意見募集をしています。
意見募集の告知：http://csrc.nist.gov/publications/PubsDrafts.html#NIST-IR-8062

 

ドラフト版文書：http://csrc.nist.gov/publications/drafts/nistir-8062/nistir_8062_draft.pdf

 

これまでの同類の文書でありがちだったのは、「ＰＩＡ（プライバシー影響評価）という名のエゴ」で紹介したようなことでしたが、上記の文書は、これまでに比べて、以下のとおり相当まともです。

 

内容としては、まずリスクマネジメントの説明をしていますが、これは従来からの一般的な内容と変わりはありません。

 

特徴的なのは、Privacy Engineering Objectivesとして以下の３つをあげていることです。

 

　・Predictability（予見性）
　・Manageability（管理性）
　・Disassociability（非関連性）

 

従来の、プライバシーリスクマネジメントは、本来は直接の観点ではないデータ・セキュリティのことになってしまっているところ、この文書は、データ・セキュリティは基礎的な要素として踏まえることとして、この文書の観点から除外して上記３つについてを説明しています。

 

日本語に翻訳するのが難しい用語ばかりを使われてしまいました（笑）が、これら３つによる整理はよくできていると思います。
ただ、これら３つに網羅性や体系性が十分であるかが気になるところですが、基本３要素的には、申し分ない要素だと思います。

 

追記：

その後、上記文書は、2017年に
NIST IR 8062 An Introduction to Privacy Engineering and Risk Management in Federal Systems
として発行され、その概要を示す
ITL Bulletin - Building the Bridge Between Privacy and Cybersecurity for Federal Systems
が公開されています。