NIST Privacy Frameworkを使ってみよう - 思い出したいことがある

2019年内発表予定だったNIST Privacy Framework（以下PF）ですが、年明けにずれ込みつつもようやく正式版が発表されました。

私自身もコンサルから事業会社に転職し「PFを他社に紹介する立場」から「PFを自ら利用する立場」に変わりました。この前、初めてPFを採用した組織がリリースを出していましたが、まだまだ利用者側の情報が少ないのが現状です。

そこで、各社の法務部門・セキュリティ部門・プライバシー部門の方向けに、一緒にPFの利用を検討してみませんか！と提案するための記事を書いてみます。「ここがよくわからん」みたいな悩みを共有できる仲間が増えると嬉しいです。

f:id:seko-law:20200216091101p:plain

1.NIST PFとはどういうものか

以前、一般的・原則的な内容は書いたので、今回はもう少し私見的・実利的な話を書いてみようと思います（所属会社を明かしていますが、あくまで私個人の見解です）。

私は、NIST PFを

プライバシーを検討する際に法規制対応という受動的な領域から脱し、主体的に行動していくための基準・ツール

であると捉えています。

法律で求められるぎりぎり最低限（と自社が考えるライン）を狙った結果、ユーザー・社会の理解と乖離が生じ、大きな代償を払うことになったケースは去年も沢山ありました。

背景にあるテクノロジーの変化が激しいこと
相対的に未成熟な法領域であること
立法には多様な利害関係が絡むこと
国外ではより先進的な立法がなされていること
社会のリテラシー形成には、それら先進的な立法が大いに影響を与えること

を踏まえると、数年前にできた日本の法律やガイドラインを頼りに対応を決めるというのはあまり懸命な方法だとは思いません。「自社としてここは絶対に守るべき」というラインを主体的に定め、それに従って判断すべきではないでしょうか？

2.使い方

ここではやや正確性を犠牲にしながら、「初見の人が、PFを読んでみようかな…と思ってくれること」をゴールに使い方を説明します（興味が湧いた人はぜひ原典にあたって下さい）。

PFには大きく3つの概念があり、これらを中心に話が進みます。

Core：プライバシーの観点から持つべき機能のリスト
Implementation Tiers：Coreの達成状況を4段階で表すもの
Profiles：Implementation Tiersが現状いくつで、目標がいくつかを示すもの

各社における検討は、

Coreの内容とImplementation Tiersの定義を理解し
各Coreの現状での達成状況（＝Implementation Tiers）を調べて
目標とする達成状況を定め
現状と目標のギャップを埋めるべく、各種施策を推進

という形で進んでいくことになると思います。PFがある程度成熟してくると「この業界では少なくともこれくらいのImplementation Tiersを目指すべき」とか「このCoreはどの企業もこの程度」みたいなベンチマークが出てくるのですが、2020年発行のためそうも言っていられません。

現時点では、まず

すべてのCoreでImplementation Tiersの2をめざす
自社が進出済みの国における法規制的に2ではマズいCoreは3or4を目指す

くらいで良いのではないでしょうか。その後知見が溜まってきたら、自社として3or4を目指すべき領域や、そもそも必要ではないCoreを検討すれば良いと思います。*1

3.今後の展望

現在Coreの要件に対し、各国法の要件等を紐付ける取り組みが進められています。私も昨年5月の時点で

世界各国でぽこぽこと微妙に違うプライバシー法が乱立している現状を踏まえると、「NISTのPrivacy Frameworkを土台とし、各Subcategoryについて関連する各国法規制が整理された資料」が誕生する可能性には大いに期待しています。

出所：NIST プライバシーフレームワークをどう見るか

と書いていたのですが、まさにこれが作られようとしているわけです。イメージとしては以下のような感じです。

出所：NIST Framework for Improving Critical Infrastructure Cybersecurity

上記はセキュリティ版のもの。こんな感じで、プライバシーに関して具備すべき要件（Subcategory）に対し、各国法等がInformative Referencesとしてばばーっと整理された資料が出来上がると本当に助かると思います。