1.今日のテーマ
自分は所属先がセキュリティ/プライバシー部門ということもあり、所属先企業での業務内容をペラペラ喋るのには抵抗があるのですが…最近は、業務の一部としてNISTのPrivacy Framework(以下PF、原文はこちら)を用いたアセスメントをしています。
これは一応公開情報で、うちのボスがNISTの公式ページで宣言しているのでブログにしても良いだろうと判断しました。
LINE decided to become an early adopter of NIST Privacy Framework because it provides a flexible and comprehensive roadmap for visualizing and improving our privacy program.
- Takesh Nakayama, Chief Privacy Officer and Chief Information Security Officer, LINE
January 16, 2020
出典:NIST
また、 NIST PFについては今まで馴染みのない方に向けてさわりの部分をブログに書いたことがありました。
その後、私も実際にアセスメントを進めていく中でNIST PFに対する理解が深まってきました。そこで今回は「NIST PFを使ってアセスメントする人向け」に、実施に際してのガイドとして使ってもらえるような具体的な内容を書いていこうと思います。
2.NIST PFはどういう時に利用すると良いか
- 「法律が要求する最低限」ではなく自社の基準で必要な取組みを実施したい
- しかし、何から手を付けて良いかわからない
ような場合に利用するのが良いと思います。「法律が要求する最低限」を狙って炎上するプライバシー案件は毎年複数見かけます。「個人情報関連法について独自の法解釈をした結果炎上し、グレーゾーンが云々と嘆く」のはそろそろやめにして、リスクベースで自社の基準に基づいた対応をしませんか?
なお、NIST PFを利用する上で一番大きな障害が(網羅性ゆえの)とっつきにくさだと思います。ここを乗り越える力になれれば良いなと思ってこの一連の記事を書いていきます。
3.アセスメントの流れ
アセスメントは、主に以下の2つを用いて行ないます。
- Core:要求事項(のようなもの)のリスト
- Tier:要求事項(のようなもの)の達成レベル
Coreの各要素に対して、現状のTierがどの程度かをアセスメントし、将来どのTierを目指すかを設定した上で個別の取組みに流していく訳です。
(1)Core
Coreは大きく5つのFUNCTIONSに分かれます。これがFUNCTIONS>CATEGORIES>SUBCATEGORIESと要素に分解されていきます。アセスメントはこの最小単位であるSUBCATEGORIESレベルで行います。
出典:NIST
Identify-PとGovern-Pが土台となり、プライバシー寄りのFunctionであるControl-P,Communicate-Pや、セキュリティ寄りのFunctionであるProtect-Pに繋がっていくイメージを私は持っています。
Identify-PやGovern-Pの取組みを始めると組織の現状がはっきり見えてくるので、「こういうことをした方がいいんじゃないか」「もっとこういうものがないと」という意見が出てくると思います。大概そういった取組みは、Control-P、Communicate-P、Protect-Pのどれかに入っていると思います。
なお、各SUBCATEGORIESについては参考文献がかなり丁寧に整理されています(リンク)。SUBCATEGORIESの内容がよくわからないという時は、ここから文献を辿っていくと芋づる式に理解を深めていくことができます。
(2)Tier
- Tier 1: Partial
- Tier 2: Risk Informed
- Tier 3: Repeatable
- Tier 4: Adaptive
という4段階の成熟度(のようなもの)が設定されています。公式なものではないですが、私が人に説明する時には以下のような言葉でざっくり説明しています。
- Tier1:Partial → 個別的で受動的な対応
- Tier2:Risk Informed → 暗黙知に基づく対応
- Tier3:Repeatablez → 形式知に基づく対応
- Tier4:Adaptive → 継続的改善に基づく対応
NIST PFにはより詳細なTierの定義が載っているので、実際にアセスメントをする時にはそちらを参照ください。
4.今後の予定
今後各論として、各Functionの詳細について記事にしていこうと思います。目次は随時更新していきます。
---------------------------
- 総論 本稿
- IDENTIFY-P
- GOVERN-P
- CONTROL-P
- COMMUNICATE-P
- PROTECT-P
- 番外編 Tier評価
---------------------------