情報技術 - セキュリティ技術 - 個人識別可能な情報保護の実践規範

Information technology -- Security techniques -- Code of practice for personally identifiable information protection

PII(個人識別可能情報)を情報処理する組織の数が増加すると共に、これらの組織が扱うPIIの量も増加しています。同時に、PII保護および個人に関するデータの安全性に対して社会が望むことも厳しくなっています。
多くの国々では、重要なデータへの侵害の増加に対応するために、法整備を強化しています。

PII(Personally Identifiable Information)個人識別可能情報の保護

PII(個人識別可能情報)侵害が増加するに伴い、PIIを収集もしくは処理する組織では、プライバシー侵害に対するリスクを減らし、またその侵害が自らを含めた被害者に与える影響を抑えるために、PII保護に関する指標となるものを益々必要とするようになってきました。ISO/IEC 29151は、そのような指標を提供するものです。

ISO/IEC 29151は、PII(個人識別可能情報)の保護に取り組む多種多様な組織で一般的に適用されている情報セキュリティの管理策やPII保護の管理策を広範囲に渡って網羅する指針をPII管理者に提供します。

ISO/IEC 29151は、PII(個人識別可能情報)保護に関するリスクおよびインパクトアセスメントによって特定された要件を満たすことを目的とした管理策を導入するための管理目的、管理策およびガイドラインを確立しています

ISO/IEC 29151は、組織の情報セキュリティリスク環境がおよぶ範囲で対象となり得るPII(個人識別可能情報)処理に関する要件を考慮に入れ、ISO/IEC 27002に基づいたガイドラインを定めています。

ISO/IEC 29151は、組織のPII管理者 (ISO/IEC 29100において定義されている) として活動するのであれば、組織の種類、規模に関わらず、民間企業、政府、公共団体、NPOなど、どのような組織にも適用可能です。




ISO/IEC 29151を利用するには、以下に記された文献が必要不可欠です

ISO/IEC 27002  情報技術 ― セキュリティ技術 ― 情報セキュリティ管理策に関する実践の規範
ISO/IEC 29100  
情報技術 ― セキュリティ技術 ― プライバシーフレームワーク


管理目的・管理策   手引き 
5. 情報セキュリティのための方針群  1
6. 情報セキュリティのための組織 4
7.人的資源のセキュリティ  2
8. 資産の管理 6
9. アクセス制御 5
10. 暗号 1
11. 物理的及び環境的セキュリティ 1
12. 運用のセキュリティ 5
13. 通信のセキュリティ 2
14. システムの取得、開発及び保守 3
15. 供給者関係 1
16. 情報セキュリティインシデントの管理  2
17. 事業継続マネジメントにおける情報セキュリティの側面  0
18. 順守 2

ISO/IEC 29100「プライバシー原則」に基づく拡張管理策
プライバシー原則原文 管理策数
ー  その他 
1. 同意及び選択Consent and choic12
2. 目的の正当性及び明確化 Purpose legitimacy and specification2
3.収集制限 Collection limitation1
4. データの最小化 Data minimization 1
5. 利用、保持及び開示の制限 Use, retention and disclosure limitation  5
6. 正確性及び品質 Accuracy and quality1
7. 公開性、透明性及び通知 Openness, transparency and notice1
8. 個人参加及びアクセス Individual participation and access2
9. 責任 Accountability6
10. 情報セキュリティ Information security1
11. プライバシーコンプライアンス   Privacy compliance2



作成:2017.05.03