NIST Privacy Frameworkアセスメントガイド【各論 GOVERN-P】

前回に引き続き、NIST Privacy Framework(以下PF)における、個別のFunctionについて書いていきます。自分が検討する過程で躓いた所や、調べてみて理解が深まった所に重点を置いて書いていくので、これからPFを使う皆さんの参考になれば嬉しいです。

f:id:seko-law:20200516075206p:plain



0.目次

 

1.Function

黄色で表示されているのが、今回取り上げるGovern-Pです。IPAの日本語訳では「統治」と翻訳されると思います。NIST PFの初期案では存在しなかったFunctionですが、その重要性に鑑みて独立のFunctionとして切り出されました。

f:id:seko-law:20200510071810p:plain

出典:NIST

Govern-Pはまさに組織的なガバナンスを利かせていくための仕組みに関する項目で、Identify-Pと並んで各種取組みの土台となる項目が多いFunctionです。

Identify-Pが基礎となるデータを提供し、その基礎データに基づいてGovern-Pが組織的な枠組みを提供するイメージを私は持っています。

Govern-P – Develop and implement the organizational governance structure to enable an ongoing understanding of the organization’s risk management priorities that are informed by privacy risk.

出典:NIST 

2.Category

NIST PFではGovern-Pに紐づくCategoryとして、以下の4つが挙げられています。

  • Governance Policies, Processes, and Procedures
  • Risk Management Strategy
  • Awareness and Training
  • Monitoring and Review

Govern-PはCategory相互間であまりストーリー性の様なものがなく、少し覚えにくいですよね。ここではCategoryを2つほど取り上げて解説します。

Governance Policies, Processes, and Procedures

まず、検討の初期段階で重要になるのがこの"Governance Policies, Processes, and Procedures"です。これはプライバシーに関する(法的/非法的)要求事項を理解するための項目で、どの企業でも一定程度対応しているものかと思います。

Tier1:Partial → 個別的で受動的な対応
Tier2:Risk Informed → 暗黙知に基づく対応
Tier3:Repeatablez → 形式知に基づく対応
Tier4:Adaptive → 継続的改善に基づく対応

よって、アセスメントをするに際してはどの企業もTier1の「個別的で受動的な対応」は最低限できているとして、更にそれらがどの程度高度に実施できているかを評価することになります。

Monitoring and Review

他方、検討がある程度進んできた段階で重要になるのが"Monitoring and Review"です。これは制度の見直しに関する項目で、これが組織的に実施できていると、他Function含めて多くの項目でTier4と評価されることが増えてくると思います。

「形式的に規程群は揃っていて、(形骸化しているとも言い難いため)Tier3と評価することはできるが、Tier4には程遠い」という様な状況は、残念ながら多くの企業で見られる現象だと思います。その様な場合、このCategoryに対応していくと規程群の実効性が向上し、Tier3からTier4への向上が見込めると思います。

3.SubCategory

f:id:seko-law:20200517084207p:plain

出典:NIST

Govern-PのCategoryには4つの項目が存在することを上で説明しましたが、各Categoryにはさらに複数個のSubCategoryが記載されています。今回も各Categoryで注目すべきSubCategoryをピックアップして解説します。

Governance Policies, Processes, and Procedures

GV.PO-P5: Legal, regulatory, and contractual requirements regarding privacy are understood and managed.

ここでは法律や所属する業界団体の自主基準等、プライバシーに関する対外的な要求事項を管理することが求められています。「2.Category」でも少し述べましたが、プライバシーに関する取組みはこの項目しかしていない企業も多いのではないでしょうか。

本項目の"managed"に関連して少し述べると、社内規程のアップデートを容易にするためは、「対外的な要求事項」と「それを反映した社内規程の条項」の対応表を用意しておくと非常に楽です。社内規程には反映不要と判断した要求事項については、対応表にコメントを残しておくこともできます。

たまに法律の条文を丸写し(に近いこと)をして社内規程を作っている企業もありますが、あまり意味のある行動とは思えません。

Risk Management Strategy

f:id:seko-law:20200516152414p:plain

出典:NIST

セルの右辺が灰色に塗られている項目は、NIST Cyber Security Framework(以下CSF)と同一の要求事項であることを表しています。"Risk Management Strategy"は、まずCategoryレベルでその内容がCSFと同一であり、さらにSubcategoryレベルでも2/3がCSFと同一だということです。

PFとCSFは一応別のフレームワークではありますが、同時に用いることでセキュリティとプライバシーの両面から対応することができ、より高い効果を得ることができます。すでにCSFによるアセスメントを実施している企業であれば、このsubcategoryはCSFと平仄を合わせる必要があるでしょう。

Awareness and Training

GV.AT-P2: Senior executives understand their roles and responsibilities.

これは、シニアエグゼクティブ向けの教育に関する項目です。ここで理解すべきなのは、この要求事項の一つ前には従業員一般に対する教育の項目が存在するという点です。*1

"GV.AT-P2"と"GV.AT-P1"が別で定められている以上、従業員への一般的な教育とは区別して、シニアエグゼクティブ向けの教育が求められていると解釈するべきです。

Monitoring and Review

GV.MT-P7: Policies, processes, and procedures for receiving, tracking, and responding to complaints, concerns, and questions from individuals about organizational privacy practices are established and in place.

 個人からの問い合わせ対応に関する項目です。

会社によっては法務やプライバシー部門ではなく、CSがここの役目を担っていることもあるかと思います。プライバシーに関する問い合わせは対立関係が先鋭化しやすく、慎重(かつ迅速)な対応が求められます。

CS部門が別にある場合には、両部門の連携やエスカレーション基準の設定が重要になってくると思います。

--------------------------------------

以上です。

Governは取組みが大掛かりなものが多いこともあり、企業の規模が大きければ大きいほど足踏みをしてしまいがちな領域だと思います。Subcategoryレベルを読んでも「で、結局何をやればいいの」となってしまうこともありそうです。

やはりここでも、先進的な企業が自社の取組みを公表してくれればいいのになと思いますね。

*1:GV.AT-P1: The workforce is informed and trained on its roles and responsibilities.