NIST プライバシーフレームワークをどう見るか

NISTが先日、プライバシーフレームワークの discussion draft versionを出しました。最近は

  • GDPR(2018年)
  • CCPA(2019年)

と毎年大きなイベントが続いているプライバシー領域で、2020年以降注目すべきトピックだと思うのでちょっと記事を書いてみたいと思います。

f:id:seko-law:20190504145332p:plain

1.この記事を書く目的

(1)前提

私はプライバシー領域のプレイヤーを、だいたい以下のような感じで分類しています。(階層を登るにつれて抽象度が上がっていくイメージです。)

第1階層:学者

第2階層:ビジネスロイヤー

第3階層:セキュリティクラスタ 

------------------------------------------------------------

第1階層:学者

本当に学者さんという意味ではなく、そもそもなんでプライバシー守るんだっけみたいな所(Why)に興味の中心がある人たちを意図しています。人権的見地からプライバシーを見ている人たちで、「AIと人権」みたいな部分に興味がある人とも一定程度共通するのかな…と思っています。

第2階層:ビジネスロイヤー

大手法律事務所に所属して本を書いてくれたり講演をしてくれたりしながら、ビジネスローの一環としてのプライバシーを社会に浸透させてくれる人たちです。具体的なルールを守るために何をしなきゃいけないんだっけ(What)みたいな所に興味の中心がある人たちです。企業の法務部の方とコミュニケーションを取る場合には、彼らもここに分類しています。

第3階層:セキュリティクラスタ

Tech/Biz問わずセキュリティを(も)本職とする人たちで、具体的にどんな方法でプライバシーに関するリスクをコントロールしていくべきなんだろう(How)という所に興味の中心がある人たちです。企業のテクノロジー部門の方とコミュニケーションを取る場合には、彼らもここに分類しています。

------------------------------------------------------------ 

・第1階層的なそもそも論から問題提起を続ける実務家の方

・第2階層寄りの有益な記事を定期的にアップしてくれる学者の先生

みたいなグラデーションはありつつも、だいたいこの3階層で分類しながらプライバシー領域の人とは話をしています。なお自己認識としては、私は第2階層寄りの第3階層にいるつもりでいます。

(2)目的

今回のフレームワークは、雑に要約すると「プライバシーを守るためにはこんなことをすべきだよねという合意を形にする」という、第2〰第3階層的な取り組みだと思っています。

法律ではない(ソフトローみたいな言葉はありつつも)ため第2階層の先生方があまり強く興味を持たない部分かな…と思い、自分で記事を書いてみることにしました。第1,第2階層の方に興味を持って貰ったり、第3階層の方と会話をする土台になれば嬉しいです。

2.前提整理

(1)NISTとは

 アメリカの技術系の標準を作っている組織です。セキュリティ領域では非常に影響力の大きい組織で、少し前に話題になった「パスワードの定期変更不要論」のきっかけになったのもNISTの方針変更でした。

(2)フレームワークとは

 前述の通りNISTはアメリカの技術系の標準を作っている組織で、色々な標準(フレームワーク)を発表しています。

以前にもCybersecurity Frameworkというものを発表していて広く浸透しているのですが、今回その姉妹版的位置づけでPrivacy Frameworkを発表しました。

(3)NISTが発表する目的

これは完全に推測ですが、制裁金を背景にGDPRが広く浸透している状況を踏まえ、NISTが(米国が)プライバシー領域のプレゼンスを奪還しにきたのかな…と考えています。

3.フレームワークの内容

(1)立て付け

今回のフレームワークでは姉妹版ということもあり、セキュリティとプライバシーの立て付けも説明されています。セキュリティの一般的な定義(=機密性・完全性・可用性を維持すること)を起点に、

  • unautorizedな機密性・完全性・可用性の損失→サイバーセキュリティの領域
  • autorizedだけど、副産物として生じる問題→プライバシーの領域

として整理しています。プライバシーをゼロから定義したというよりは、サイバーセキュリティではカバーしきれない部分をプライバシーとして定義した感じですかね。

f:id:seko-law:20190504152752p:plain

 出典:NIST

 また、イントロダクションの所では早々に

...Finding ways to continue to derive benefits from data...
...not well-suited to one-size-fits-all solutions.
出典: NIST

と述べていて、EU的なプライバシー観には乗らないことを明確にしているようにも読めます(EUはプライバシーを人権問題(≠ビジネス)と捉えていて、業界横断での統一的な規制を志向している理解です)。

(2)概要

 細かい話は色々あるのですが、やはり一番キャッチーなのはプライバシーに関する分類を示した部分かなと思います。

GDPR対応された方は共感していただけるんじゃないかと思うのですが、要求事項が何十項目もあると、経営層に話をするときにはわかりやすい名前をつけて3〰5個程度の大分類にカテゴライズしたいですよね?

  • 戦略、組織、業務、技術
  • 組織、業務、人材
  • 人、物、金、情報

等々、よく見る分類方法はあるんですが、相手によっては通りが悪かったりして。こういう時に、「業界的にはこれで分類すれば結構通りがいいよね」という分類方法があると本当に助かります。

そこで今回提示されたのが

  • IDENTIFY
  • PROTECT
  • CONTROL
  • INFORM
  • RESPOND

という5分類です。特定、防御、管理、通知、対応とかって感じでしょうか。前述のCybersecurity Frameworkでも5つの分類がとられていて、それとの関係性が絵で整理されていました。まだちょっと馴染みが薄いですが、徐々に慣れていくのかな。

f:id:seko-law:20190504155629p:plain

出典:NIST 

(3)詳細

 そして、上述の5分類に紐づく形で複数のCategoryが、また各Categoryに紐づく形で複数のSubcategoryが定義されています。 Subcategoryには、プライバシー的に見た望ましい状態(情報資産がリスト化されている、責任者が特定されている…)がそれぞれ書かれています。

今回のものはdiscussion draft versionなので検討は避けますが、確定版が出たらCybersecurity Frameworkと比較しながら検討してみたいですね。

f:id:seko-law:20190504160022p:plain

出典:NIST 

また、姉妹版であるCybersecurity Frameworkでは各Subcategoryに対して、関連する他のフレームワークを参照できるように整理してくれています。これがプライバシー領域についてもなされるとなると、この資料の有用性が数段階上がると思います。

世界各国でぽこぽこと微妙に違うプライバシー法が乱立している現状を踏まえると、「NISTのPrivacy Frameworkを土台とし、各Subcategoryについて関連する各国法規制が整理された資料」が誕生する可能性には大いに期待しています。

4.まとめ

以上です。やや正確さを犠牲にしながらかけあしでまとめてみましたが、概要や面白さが伝われば嬉しいです。

また、私の認識違い等ご指摘あれば修正しますのでご連絡下さい。