« 第5回 社会保障・税番号(マイナンバー)制度におけるプライバシー・個人情報保護のあり方<課題と提言> | Main | JIS Q 20000-1:2012(ISO/IEC 20000-1:2011)(予定)への移行計画 »

2011.07.22

NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

 こんにちは、丸山満彦です。NISTがSP 800-53 Appendix J DRAFT Privacy Control Catalogを公開していますね。。。

=====
・Provide a structured set of privacy controls, based on international standards and best practices, that help organizations enforce requirements deriving from federal privacy legislation, policies, regulations, directives, standards, and guidance;
・Establish a linkage and relationship between privacy and security controls for purposes of enforcing respective privacy and security requirements which may overlap in concept and in implementation within federal information systems, programs, and organizations;
・Demonstrate the applicability of the NIST Risk Management Framework in the selection, implementation, assessment, and monitoring of privacy controls deployed in federal information systems, programs, and organizations; and
・Promote closer cooperation between privacy and security officials within the federal government to help achieve the objectives of senior leaders/executives in enforcing the requirements in federal privacy legislation, policies, regulations, directives, standards, and guidance.
=====

 
■NIST
・2011.07.19 SP 800-53 Appendix J DRAFT Privacy Control Catalog

Draft_800-53-privacy-appendix-J.pdf
=====
TR Transparency
 TR-1 Privacy Notice
 TR-2 Dissemination of Privacy Program Information
IP Individual Participation and Redress
 IP-1 Consent
 IP-2 Access
 IP-3 Redress
 IP-4 Complaint Management
AP Authority and Purpose
 AP-1 Authority to Collect
 AP-2 Purpose Specification
DM Data Minimization and Retention
 DM-1 Minimization of Personally Identifiable Information
 DM-2 Data Retention and Disposal
UL Use Limitation
 UL-1 Internal Use
 UL-2 Information Sharing
 UL-3 System Design and Development
DI Data Quality and Integrity
 DI-1 Data Quality
 DI-2 Data Integrity
SE Security
 SE-1 Inventory of Personally Identifiable Information
 SE-2 Privacy Incident Response
AR Accountability, Audit, and Risk Management
 AR-1 Governance and Privacy Program
 AR-2 Privacy Impact and Risk Assessment
 AR-3 Privacy Requirements for Contractors and Service Providers
 AR-4 Privacy Monitoring and Auditing
 AR-5 Privacy Awareness and Training
 AR-6 Privacy Reporting
=====

|

« 第5回 社会保障・税番号(マイナンバー)制度におけるプライバシー・個人情報保護のあり方<課題と提言> | Main | JIS Q 20000-1:2012(ISO/IEC 20000-1:2011)(予定)への移行計画 »

Comments

丸山 様

夏井です。

日本では,「based on international standards and best practices」を理解できる人材が圧倒的に少ないです。教育が悪いということもありますが,私見である「免罪符説」で示されるような悪しき習慣にすがったビジネスが多過ぎるということなんでしょう。だから,進歩が全くない。

日本では,そもそも「respective privacy and security requirements」の存在を認めようとしない組織が圧倒的に多いので困りものです。認めるとビジネスをあきらめなければならない場合が多々ある。つまり,ビジネスモデルそれ自体が最初から違法なんですが,それを認めると組織としての存在意義を自己否定してしまうことになるので認めるわけにはいかない。こういうわけで,インプリメント不可能な場合が圧倒的に多いだろうと思われます。

日本では,「Promote closer cooperation between privacy and security officials」が物理的に不可能ですね。法制がそうなっていないし・・・

以上のようなわけで,日本ではこれに準拠できるだけの素地を有する組織は皆無に近いだろうと思います。

Posted by: 夏井高人 | 2011.07.30 15:15

夏井先生、コメントありがとうございます。

=====
私見である「免罪符説」で示されるような悪しき習慣にすがったビジネスが多過ぎるということなんでしょう。だから,進歩が全くない。
=====
そうですね。。。規制に守られている業界も悪しき習慣を、グローバルな流れとは別にローカルルール化したりして。。。

=====
認めるとビジネスをあきらめなければならない場合が多々ある。つまり,ビジネスモデルそれ自体が最初から違法なんですが,それを認めると組織としての存在意義を自己否定してしまうことになるので認めるわけにはいかない。
=====
そうでしょうね。。。経営者の胆力が必要となる場面です!

自分も含めて、勇気を出して声を上げる必要があると感じています。(といっても、簡単ではないですけどね。。。)
夏井先生のコメントですが、始めはみんな「現実感がないと」引きがちですが、時間がたつと、夏井先生説というのは、常識になっていくんですよね。。。

Posted by: 丸山満彦 | 2011.08.02 01:41

先週セミナーでNSTICをテーマに話したんですが、プライバシーのところで、FIPPsの8原則に触れてました。で、具体的な方策について質問が挙がって、まだ米国もこれから検討って感じと答えていたのですが、SP800-53のAppendixという形で着手し始めているんですね。要ヲチです。

夏井先生仰る通り、「based on international standards and best practices」は重要かと。日本もこれから番号制度に絡んで、第三者機関のPIAガイドライン検討していくようですし。

Posted by: shingoym | 2011.08.02 16:11

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog:

« 第5回 社会保障・税番号(マイナンバー)制度におけるプライバシー・個人情報保護のあり方<課題と提言> | Main | JIS Q 20000-1:2012(ISO/IEC 20000-1:2011)(予定)への移行計画 »