{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
NISTプライバシーフレームワーク制定を見据えて
2019-09-12
NISTにおいて現在、プライバシーフレームワーク(以下、PRF)の制定に向けた取り組みが実施されています(2019年8月現在パブリックコメント中であり、2019年に発効予定)。セキュリティ領域におけるデファクトスタンダードとなっている「NIST Cyber Security Framework(以下CSF)」の姉妹版ということもあり、リリース後の普及が想定される同フレームワークについて解説します。
NISTとは
NISTとは、米国の国立標準技術研究所です。NISTによって制定される標準は原則として法的拘束力を持たないものの、その多くがデファクトスタンダードとなっています。具体的には、上で述べたCSFの他にリスクマネジメントフレームワークなどが策定され、多くの企業が同フレームワークに基づきアセスメントや施策を行っています。
CSFとPRF
NISTの刊行物の中でもとりわけ多くの企業で利用されてきたのがNIST Cybersecurity Frameworkです。同フレームワークではサイバーセキュリティリスクを管理していく上で有用な機能を以下の5つに分類しています。
- IDENTIFY(特定)
- PROTECT(防御)
- DETECT(特定)
- RESPOND(対応)
- RECOVER(復旧)
今回そのCSFの姉妹版として策定されているのが、テーマとして取り上げたPRFです。PRFではプライバシーリスクを管理していく上で有用な機能を
- IDENTIFY(特定)
- GOVERN(統治)
- PROTECT(防御)
- CONTROL(管理)
- COMMUNICATE(伝達)
- RESPOND(対応)
の6つに分類しており、特定・防御・対応の機能名はCSFと共通しています(2019年6月29日発表のProposed Integrated Coreに基づき記述)。
PRFのIDENTIFYはプライバシー文化の醸成
例えばIDENTIFY(特定)は、「データを処理するシステム/製品/サービスから生じる、個人へのプライバシーリスクを管理するための組織的理解を醸成する」ための機能と定義されています。直訳的でやや分かりにくいですが、「自社が抱えるプライバシーリスクを理解するために、前提として理解しておくべきこと」がまとめられているのがIDENTIFY(特定)と言えます。
カテゴリー・サブカテゴリー
さらに各機能は、カテゴリー・サブカテゴリーに分割され、詳細化されます。同様に先ほどのIDENTIFY(特定)を例に取ると、カテゴリーとして「棚卸とマッピング」「ビジネス環境」「リスクアセスメント」などが並びます。これらは「自社が抱えるプライバシーリスクを理解するために、前提として理解しておくべきこと」であると納得いただけるのではないでしょうか。
今回詳述はしませんが、さらにこれらのカテゴリーにはサブカテゴリーが設定されており、「棚卸とマッピング」「ビジネス環境」「リスクアセスメント」としてどのような状態を目指すべきなのかが定義されています。
アセスメントでの活用
このように、PRFではプライバシーリスクを管理するために有用な機能が網羅的かつ詳細に定義されているため、アセスメントに活用することができます。
PRFでは、望ましい状態の達成状況を4段階で定義しています。
Tier 1:部分的
Tier 2:通知済み
Tier 3:繰り返し可能
Tier 4:適応可能
各サブカテゴリーについて望ましい状態を達成しているかどうか、達成しているとしてどの程度達成できているのかについてアセスメントを行い、また目標とする達成状況を設定するとこでGAPが可視化され、今後の改善プラン策定に利用することが可能です。
PRFと同様の構成をとるCSFではこのようなアセスメントが多くの企業で実施されており、PwCではアセスメント実績が積み重なっていった結果、各業界・業種での一般的なスコア等も把握されるようになっています。
このように、アセスメントツールとして非常に有用であると考えられるPRFの発行・普及に期待が集まっています。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
