NIST Privacy Frameworkアセスメントガイド【総論】

1.今日のテーマ

自分は所属先がセキュリティ/プライバシー部門ということもあり、所属先企業での業務内容をペラペラ喋るのには抵抗があるのですが…最近は、業務の一部としてNISTのPrivacy Framework（以下PF、原文はこちら）を用いたアセスメントをしています。

これは一応公開情報で、うちのボスがNISTの公式ページで宣言しているのでブログにしても良いだろうと判断しました。

LINE decided to become an early adopter of NIST Privacy Framework because it provides a flexible and comprehensive roadmap for visualizing and improving our privacy program.

- Takesh Nakayama, Chief Privacy Officer and Chief Information Security Officer, LINE
January 16, 2020
出典：NIST

また、 NIST PFについては今まで馴染みのない方に向けてさわりの部分をブログに書いたことがありました。

その後、私も実際にアセスメントを進めていく中でNIST PFに対する理解が深まってきました。そこで今回は「NIST PFを使ってアセスメントする人向け」に、実施に際してのガイドとして使ってもらえるような具体的な内容を書いていこうと思います。

f:id:seko-law:20200509170138p:plain

2.NIST PFはどういう時に利用すると良いか

「法律が要求する最低限」ではなく自社の基準で必要な取組みを実施したい
しかし、何から手を付けて良いかわからない

ような場合に利用するのが良いと思います。「法律が要求する最低限」を狙って炎上するプライバシー案件は毎年複数見かけます。「個人情報関連法について独自の法解釈をした結果炎上し、グレーゾーンが云々と嘆く」のはそろそろやめにして、リスクベースで自社の基準に基づいた対応をしませんか？

なお、NIST PFを利用する上で一番大きな障害が（網羅性ゆえの）とっつきにくさだと思います。ここを乗り越える力になれれば良いなと思ってこの一連の記事を書いていきます。

3.アセスメントの流れ

アセスメントは、主に以下の2つを用いて行ないます。

Core：要求事項（のようなもの）のリスト
Tier：要求事項（のようなもの）の達成レベル

Coreの各要素に対して、現状のTierがどの程度かをアセスメントし、将来どのTierを目指すかを設定した上で個別の取組みに流していく訳です。

(1)Core

Coreは大きく5つのFUNCTIONSに分かれます。これがFUNCTIONS>CATEGORIES>SUBCATEGORIESと要素に分解されていきます。アセスメントはこの最小単位であるSUBCATEGORIESレベルで行います。

出典：NIST

Identify-PとGovern-Pが土台となり、プライバシー寄りのFunctionであるControl-P,Communicate-Pや、セキュリティ寄りのFunctionであるProtect-Pに繋がっていくイメージを私は持っています。

Identify-PやGovern-Pの取組みを始めると組織の現状がはっきり見えてくるので、「こういうことをした方がいいんじゃないか」「もっとこういうものがないと」という意見が出てくると思います。大概そういった取組みは、Control-P、Communicate-P、Protect-Pのどれかに入っていると思います。

なお、各SUBCATEGORIESについては参考文献がかなり丁寧に整理されています（リンク）。SUBCATEGORIESの内容がよくわからないという時は、ここから文献を辿っていくと芋づる式に理解を深めていくことができます。