前回に引き続き、NIST Privacy Framework(以下PF)における、個別のFunctionについて書いていきます。自分が検討する過程で躓いた所や、調べてみて理解が深まった所に重点を置いて書いていくので、これからPFを使う皆さんの参考になれば嬉しいです。
0.目次
- 総論
- IDENTIFY-P
- GOVERN-P
- CONTROL-P 本稿
- COMMUNICATE-P
- PROTECT-P
- 番外編 Tier評価
1.Function
紫色で表示されているのが、今回取り上げるControl-Pです。IPAの日本語訳では「制御」と翻訳されると思います。次のCommunicate-P(緑色)と並んで一番プライバシー"らしい"項目が並ぶFunctionであり、各国のプライバシー法における要求事項と共通する部分が多い領域だと思います。
出典:NIST
Control-PとCommunicate-Pの類似点
Identify-PとGovern-Pが「検討の土台を提供する」という意味で類似性があることを以前の記事で述べましたが、Control-PとCommunicate-Pは「その土台の上で実施すべき具体的なプライバシー施策」という意味で類似性を有していると感じます。
Control-PとCommunicate-Pの相違点
Control-Pはプライバシーを保護するために実施する施策について規定しており、ベクトルが社内に向いています。他方Communicate-Pはプライバシーを保護するために実施する施策を対外的に発信することについて規定しており、ベクトルが社外に向いています。
Control-P – Develop and implement appropriate activities to enable organizations or individuals to manage data with sufficient granularity to manage privacy risks.出典:NIST
2.Category
NIST PFではControl-Pに紐づくCategoryとして、以下の3つが挙げられています。ここもCategory間の関係性を把握すると理解が進むと思うので、私なりの理解を示します。
- Data Processing Policies, Processes, and Procedures
- Data Processing Management
- Disassociated Processing
"Data Processing Policies, Processes, and Procedures"でルールを定め、そのルールに基づき"Data Processing Management"で具体的な管理を行なっていくイメージです。最後の"Disassociated Processing"は、厳密には"Data Processing Management"の一部で、項目としての重要性から外に切り出されたものだと理解しています。
以下、各項目について説明します。
Data Processing Policies, Processes, and Procedures
データ処理における制約について、ポリシーや手順書を作成する項目です。
「データ処理における制約」というと抽象度が高くて何を定めれば良いのか迷子になってしまいがちですが、Subcategoryおよび列挙されている参考文献からNISTが想定している「データ処理における制約」の全体像が見えてきます。
この辺りがControl-Pのキモだと思っているので”3.SubCategory”で詳述します。
Data Processing Management
こちらは上で述べた色々なルールを実現できるような形でデータをマネジメントしましょうという項目です。
ユーザーが修正権やアクセス権を行使したら、その目的が達成できるように普段からデータを管理しておきましょうということですね。
Disassociated Processing
各種データ間の関係を疎結合にして、意図せずプライバシー侵害が生じることを避けましょうという項目です。
基本的に企業はユーザーの情報を集約し、ユーザーの解像度を上げていくことで利益を出しています。しかしながら、全ての場面においてユーザーについての詳細なデータが必要な訳ではありません。データの利用場面それぞれにおいて、適切な解像度を保ちましょうということですね。
3.SubCategory
出典:NIST
Control-Pを理解する上では、最初のCategoryである"Data Processing Policies, Processes, and Procedures"で具体的にどのようなルールを定めることが求められているのかを深く理解することが有用だと考えます。
なので、今回は"Data Processing Policies, Processes, and Procedures"で作れと言われているポリシーや手順書にどのような内容が含まれるかを中心に見ていきます。以下に太字で記載している部分がSubcategory、その子項目が参考文献で引用されている具体的な施策です。
・データ処理の中心領域(CT.PO-P1)
・同意の取得(IP-2)
・データを収集する法的根拠の明確化(PA-2)
・利用目的の特定(PA-3)
・外部組織との情報共有(PA-4)
・ユーザー問い合わせ対応(PM-28)...etc
・データ処理の周辺領域(CT.PO-P2)
・記憶媒体の無害化(MP-6)
・データの最新化(PM-23)
・責任者の設置(PM-24)
・本番環境以外でのデータ最小化(PM-26)
・データ保持期間(SI-12)
・データの廃棄(SI-18)
・データの品質管理(SI-19)...etc
・ユーザーの参画(CT.PO-P3)
・理解しやすい同意スキーム(IP-2)
・理解しやすいプライバシーポリシー(IP-4)
・データの修正権(IP-3)
・データへのアクセス権(IP-6)...etc
こうしてみると、各国法で色々と定められている要求事項を上手く抽象化してまとめ上げているなという気がします。*1
--------------------------------------
以上です。
Control-Pは既存の各国法での要求事項と親和性が高いので、すでに法令対応を経験している人には馴染みやすい領域なんじゃないかと思います。
「各国のプライバシー法を束ねる土台としてNIST PFを使えないか」と相談をいただくことがあるのですが、この辺を見ていると今後Referenceが進んでいけば使えそうな気がしています。NISTは現在cross walkとして、「PFの各要件」と「外部の法律や基準」の相互参照を拡充しようと取り組んでいるので、。今後のアップデートに期待しています。
*1:なお意図的にかなり意訳して書いているので、正確な内容は原典をどうぞ。