NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog
こんにちは、丸山満彦です。NISTがSP 800-53 Appendix J DRAFT Privacy Control Catalogを公開していますね。。。
=====
・Provide a structured set of privacy controls, based on international standards and best practices, that help organizations enforce requirements deriving from federal privacy legislation, policies, regulations, directives, standards, and guidance;
・Establish a linkage and relationship between privacy and security controls for purposes of enforcing respective privacy and security requirements which may overlap in concept and in implementation within federal information systems, programs, and organizations;
・Demonstrate the applicability of the NIST Risk Management Framework in the selection, implementation, assessment, and monitoring of privacy controls deployed in federal information systems, programs, and organizations; and
・Promote closer cooperation between privacy and security officials within the federal government to help achieve the objectives of senior leaders/executives in enforcing the requirements in federal privacy legislation, policies, regulations, directives, standards, and guidance.
=====
■NIST
・2011.07.19 SP 800-53 Appendix J DRAFT Privacy Control Catalog
●Draft_800-53-privacy-appendix-J.pdf
=====
TR Transparency
TR-1 Privacy Notice
TR-2 Dissemination of Privacy Program Information
IP Individual Participation and Redress
IP-1 Consent
IP-2 Access
IP-3 Redress
IP-4 Complaint Management
AP Authority and Purpose
AP-1 Authority to Collect
AP-2 Purpose Specification
DM Data Minimization and Retention
DM-1 Minimization of Personally Identifiable Information
DM-2 Data Retention and Disposal
UL Use Limitation
UL-1 Internal Use
UL-2 Information Sharing
UL-3 System Design and Development
DI Data Quality and Integrity
DI-1 Data Quality
DI-2 Data Integrity
SE Security
SE-1 Inventory of Personally Identifiable Information
SE-2 Privacy Incident Response
AR Accountability, Audit, and Risk Management
AR-1 Governance and Privacy Program
AR-2 Privacy Impact and Risk Assessment
AR-3 Privacy Requirements for Contractors and Service Providers
AR-4 Privacy Monitoring and Auditing
AR-5 Privacy Awareness and Training
AR-6 Privacy Reporting
=====
« 第5回 社会保障・税番号(マイナンバー)制度におけるプライバシー・個人情報保護のあり方<課題と提言> | Main | JIS Q 20000-1:2012(ISO/IEC 20000-1:2011)(予定)への移行計画 »
Comments
丸山 様
夏井です。
日本では,「based on international standards and best practices」を理解できる人材が圧倒的に少ないです。教育が悪いということもありますが,私見である「免罪符説」で示されるような悪しき習慣にすがったビジネスが多過ぎるということなんでしょう。だから,進歩が全くない。
日本では,そもそも「respective privacy and security requirements」の存在を認めようとしない組織が圧倒的に多いので困りものです。認めるとビジネスをあきらめなければならない場合が多々ある。つまり,ビジネスモデルそれ自体が最初から違法なんですが,それを認めると組織としての存在意義を自己否定してしまうことになるので認めるわけにはいかない。こういうわけで,インプリメント不可能な場合が圧倒的に多いだろうと思われます。
日本では,「Promote closer cooperation between privacy and security officials」が物理的に不可能ですね。法制がそうなっていないし・・・
以上のようなわけで,日本ではこれに準拠できるだけの素地を有する組織は皆無に近いだろうと思います。
Posted by: 夏井高人 | 2011.07.30 15:15
夏井先生、コメントありがとうございます。
=====
私見である「免罪符説」で示されるような悪しき習慣にすがったビジネスが多過ぎるということなんでしょう。だから,進歩が全くない。
=====
そうですね。。。規制に守られている業界も悪しき習慣を、グローバルな流れとは別にローカルルール化したりして。。。
=====
認めるとビジネスをあきらめなければならない場合が多々ある。つまり,ビジネスモデルそれ自体が最初から違法なんですが,それを認めると組織としての存在意義を自己否定してしまうことになるので認めるわけにはいかない。
=====
そうでしょうね。。。経営者の胆力が必要となる場面です!
自分も含めて、勇気を出して声を上げる必要があると感じています。(といっても、簡単ではないですけどね。。。)
夏井先生のコメントですが、始めはみんな「現実感がないと」引きがちですが、時間がたつと、夏井先生説というのは、常識になっていくんですよね。。。
Posted by: 丸山満彦 | 2011.08.02 01:41
先週セミナーでNSTICをテーマに話したんですが、プライバシーのところで、FIPPsの8原則に触れてました。で、具体的な方策について質問が挙がって、まだ米国もこれから検討って感じと答えていたのですが、SP800-53のAppendixという形で着手し始めているんですね。要ヲチです。
夏井先生仰る通り、「based on international standards and best practices」は重要かと。日本もこれから番号制度に絡んで、第三者機関のPIAガイドライン検討していくようですし。
Posted by: shingoym | 2011.08.02 16:11