ISO 31700-1:2023 消費者保護-消費財及びサービスのためのプライバシー・バイ・デザイン-第1部：高レベルの要求事項 ISO/TR 31700-2:2023 第 2 部：ユースケース

こんにちは、丸山満彦です。

ISOから、

• ISO 31700-1:2023 消費者保護-消費財及びサービスのためのプライバシー・バイ・デザイン-第1部：高レベルの要求事項
  
  
• ISO/TR 31700-2:2023 消費者保護 - 消費財及びサービスのためのプライバシー・バイ・デザイン - 第 2 部：ユースケース

が公表されていますね。。。

 

● ISO

・2023.01 ISO 31700-1:2023 Consumer protection — Privacy by design for consumer goods and services — Part 1: High-level requirements

ISO 31700-1:2023 Consumer protection — Privacy by design for consumer goods and services — Part 1: High-level requirements	ISO 31700-1:2023 消費者保護-消費財及びサービスのためのプライバシー・バイ・デザイン-第1部：高レベルの要求事項
Abstract	概要
This document establishes high-level requirements for privacy by design to protect privacy throughout the lifecycle of a consumer product, including data processed by the consumer.	本文書は、消費者が処理するデータを含む消費者製品のライフサイクル全体を通してプライバシーを保護するためのプライバシーバイデザインの高水準の要件を確立する。
This document does not contain specific requirements for the privacy assurances and commitments that organizations can offer consumers nor does it specify particular methodologies that an organization can adopt to design and-implement privacy controls, nor the technology that can be used to operate such controls.	本文書は、組織が消費者に提供できるプライバシーの保証と約束に関する具体的な要件を含んでおらず、プライバシー管理策の設計と実装のために組織が採用できる特定の方法論、及びそのような管理の運用に使用できる技術も規定していない。

 

プレビュー...

・Preview

目次

Foreword≈	まえがき
Introduction	序文
1 Scope	1 適用範囲
2 Normative references	2 参照規格
3 Terms and definitions	3 用語及び定義
4 General	4 一般事項
4.1 Overview	4.1 概要
4.2 Designing capabilities to enable consumers to enforce their privacy rights	4.2 消費者がプライバシー権を行使できるようにするための能力設計
4.3 Developing capability to determine consumer privacy preferences	4.3 消費者のプライバシーに関する嗜好を決定するための能力開発
4.4 Designing human computer interface (HCI) for privacy	4.4 プライバシーのためのヒューマンコンピュータインターフェース（HCI）の設計
4.5 Assigning relevant roles and authorities	4.5 関連する役割と権限の割り当て
4.6 Establishing multi-functional responsibilities	4.6 多機能の責任の確立
4.7 Developing privacy knowledge, skill and ability	4.7 プライバシーの知識、技能及び能力の開発
4.8 Ensuring knowledge of privacy controls	4.8 プライバシー管理策に関する知識の確保
4.9 Documentation and information management	4.9 文書化及び情報管理
5 Consumer communication requirements	5 消費者とのコミュニケーションに関する要求事項
5.1 Overview	5.1 概要
5.2 Provision of privacy information	5.2 個人情報保護情報の提供
5.3 Accountability for providing privacy information	5.3 プライバシー情報の提供に関する説明責任
5.4 Responding to consumer inquiries and complaints	5.4 消費者からの問合せ及び苦情への対応
5.5 Communicating to diverse consumer population	5.5 多様な消費者層へのコミュニケーション
5.6 Prepare data breach communications	5.6 データ侵害に関するコミュニケーションの準備
6 Risk management requirements	6 リスクマネジメントの要求事項
6.1 Overview	6.1 概要
6.2 Conducting a privacy risk assessment	6.2 プライバシーリスク評価の実施
6.3 Assessing privacy capabilities of third parties	6.3 第三者のプライバシー能力の評価
6.4 Establishing and documenting requirements for privacy controls	6.4 プライバシー管理策に関する要求事項の設定と文書化
6.5 Monitoring and updating risk assessment	6.5 リスクアセスメントの監視及び更新
6.6 Including privacy risks in cybersecurity resilience design	6.6 サイバーセキュリティのレジリエンス設計へのプライバシーリスクの組み込み
7 Developing, deploying and operating designed privacy controls	7 設計されたプライバシー管理策の開発、配備、および運用
7.1 Overview	7.1 概要
7.2 Integrating the design and operation of privacy controls into the product development and management lifecycles	7.2 プライバシー管理策の設計と運用を製品開発及び管理のライフサイクルに組み込むこと
7.3 Designing privacy controls	7.3 プライバシー管理策の設計
7.4 Implementing privacy controls	7.4 プライバシー管理策の実施
7.5 Designing privacy control testing	7.5 プライバシー管理策のテストの設計
7.6 Managing the transition of privacy controls	7.6 プライバシー管理策の移行を管理する
7.7 Managing the operation of privacy controls	7.7 プライバシー管理策の運用管理
7.8 Preparing for and managing a privacy breach	7.8 プライバシー侵害の準備と管理
7.9 Operating privacy controls for the processes and products upon which the product in scope depends throughout the PII lifecycle	7.9 PIIのライフサイクルを通じた対象製品が依存するプロセス及び製品に関するプライバシー管理策の運用
8 End of PII lifecycle requirements	8 PIIのライフサイクルの終了に関する要求事項
8.1 Overview	8.1 概要
8.2 Designing privacy controls for retirement and end of use	8.2 廃止及び使用終了のためのプライバシー管理策の設計
Bibliography	参考文献

 

序文...

Introduction	序文
Consumers’ trust and how well individual privacy needs are met are defining concerns for the digital economy. This includes how consumers' personally identifiable information (PII) and other data are processed (collected, used, accessed, stored, and deleted) — or intentionally not collected or processed — by the organization and by the digital goods and services within that digital economy. If PII has been compromised because of lax, outdated, or non-existent privacy practices, the consequences for the individual can be severe. In addition, consumers' trust of the digital product can be damaged with potentially legal or reputational impacts to the organization providing that consumer product.	消費者の信頼と個人のプライバシーニーズがどの程度満たされているかは、デジタル経済における決定的な関心事である。これには、消費者の個人識別情報（PII）やその他のデータが、組織やそのデジタル経済内のデジタル製品やサービスによってどのように処理（収集、使用、アクセス、保存、削除）されるか、または意図的に収集や処理が行われないか、が含まれる。もし、緩い、時代遅れ、または存在しないプライバシー慣行のためにPIIが漏洩した場合、個人に深刻な結果をもたらす可能性がある。さらに、デジタル製品に対する消費者の信頼が損なわれ、その消費者向け製品を提供する組織に法的または評判上の影響を与える可能性がある。
“Privacy by Design” was originally used by the Information and Privacy Commissioner of Ontario, Canada. with the goal that the individual need not bear the burden of striving for protection when using a consumer product.	「プライバシー・バイ・デザイン」は、もともとカナダ・オンタリオ州の情報・プライバシーコミッショナーによって使用されており、消費者製品の使用時に個人が保護のために努力する負担を負う必要がないことを目標としている。
Privacy by design refers to several methodologies for product, process, system, software and service development, e.g. References [1], [2], [3], [4], [5] and [6]. These methodologies take into account the privacy of a consumer throughout the design and development of a product, considering the entire product lifecycle - from before it is placed on the market, through purchase and use by consumers, to the expected time when all instances of that product finally stop being used. It means that a product has default consumer-oriented privacy controls and settings that provide appropriate levels of privacy, without placing undue burden on the consumer.	プライバシー・バイ・デザインは、製品、プロセス、システム、ソフトウェア及びサービス開発のためのいくつかの方法論を参照するものである。これらの方法論は、製品の設計及び開発を通じて消費者のプライバシーを考慮し、製品が市場に出回る前か ら、消費者による購入及び使用、そしてその製品のすべてのインスタンスが最終的に使用されなくなると予想される 時期までの製品ライフサイクル全体を考慮するものである。これは、消費者に過度の負担をかけることなく、適切なレベルのプライバシーを提供する消費者志向のプライバシー管理策および設定が製品に既定されていることを意味する。
NOTE This document provides references in the bibliography to other existing standards and resources, that provide more detailed requirements and guidance on privacy (e.g. identification of PII, PII access and privacy controls, consumer consent, notification of privacy breach, secure disposal of PII, interactions with third party processors) for common functions within the organization (e.g. Corporate Governance; Data and Privacy Governance; IT Operations and IT Services Management; Security and Security Management; Data Management and Database Administration; Marketing, Product Management; Web and mobile application development, systems development; Systems administration, network administration).	注：本文書は、組織内の一般的な機能（例えば、コーポレートガバナンス、データ及びプライバシーガバナンス、IT運用及びITサービス管理、セキュリティ及びセキュリティ管理、データ管理及びデータベース管理、マーケティング、製品管理、ウェブ及びモバイルアプリケーション開発、システム開発、システム管理、ネットワーク管理）に対するプライバシー（例えば、PIIの識別、PIIアクセス及びプライバシー管理策、消費者同意、プライバシー侵害の通知、PIIの安全な処分、第三者の処理者との相互関係）についてより詳しい要件及び手引きを示す他の既存の規格及びリソースを参考文献で示すものである。
In this document, the benefits of privacy by design can be viewed through three guiding principles as outlined below.	本書では、プライバシー・バイ・デザインの利点を、以下に示す3つの指針によって捉えることができる。
Empowerment and transparency	権限委譲と透明性
There is growing demand for accurate privacy assertions, systematic methods of privacy due diligence, and greater transparency and accountability in the design and operation of consumer products that process PII. The goal is to promote wider adoption of privacy-aware design, earn consumer trust and satisfy consumer needs for robust privacy and data protection. In addition, the intent is to create and promote innovative solutions that protect and manage consumers' privacy: a) by analysing and implementing privacy controls based on the consumer’s perspective, context, and needs, and b) by succinctly documenting and communicating directly to consumers how privacy considerations were approached.	PIIを処理する消費者製品の設計と運用において、正確なプライバシー主張、プライバシー・デュー・ディリジェンスの体系的な方法、より高い透明性と説明責任に対する需要が高まっている。その目的は、プライバシーを考慮した設計を広く普及させ、消費者の信頼を獲得し、強固なプライバシーとデータ保護に対する消費者のニーズを満たすことにある。さらに、a) 消費者の視点、状況、ニーズに基づいたプライバシー管理策の分析と実施、b) プライバシーへの配慮がどのようになされたかを簡潔に文書化し、消費者に直接伝えることにより、消費者のプライバシーを保護・管理する革新的なソリューションを創造し推進することを意図している。
Institutionalization and responsibility	制度化と責任
In today’s digital world of shared platforms, interconnected devices, cloud applications and personalization, it is increasingly important to delineate and distinguish the responsibilities and perspectives of the consumer of the products that process PII from those of product design, business and other stakeholders in the ecosystems in which the product operates.	共有プラットフォーム、相互接続されたデバイス、クラウドアプリケーション、パーソナライゼーションが進む今日のデジタル世界では、PIIを処理する製品の消費者の責任と視点を、製品設計、ビジネス、製品が運用されるエコシステムのその他のステークホルダーと明確に区別することがますます重要となってきている。
Privacy by design focuses on the consumer perspective when institutionalizing robust privacy norms throughout the ecosystem including privacy protection and data handling practices. With privacy by design, the consumer’s behavioural engagement with the product(s) and their privacy needs are considered early and throughout the product lifecycle process. This way, decisions concerning consumer privacy needs will be more consistent and systematic and become a functional requirement alongside the interests of product design, business and other stakeholders.	プライバシー・バイ・デザインは、プライバシー保護とデータ取扱いの慣行を含むエコシステム全体にわたって強固なプライバシー規範を制度化する際に、消費者の視点に焦点を当てる。プライバシー・バイ・デザインでは、消費者の製品への行動的関与とプライバシーニーズが、製品のライフサイクルプロセスの早期かつ全体にわたって考慮されます。このようにして、消費者のプライバシーニーズに関する決定は、より一貫して体系化され、製品設計、ビジネス、その他の利害関係者の利益と並んで機能要件となる。
Privacy by design also focuses on accountability, responsibility, and leadership. These aspects are essential to successfully operationalizing and institutionalizing the privacy by design process. A demonstrated leadership commitment to privacy by design is essential to operationalize and institutionalize privacy in the product design process of an organization.	プライバシー・バイ・デザインは、説明責任、責任、リーダーシップにも重点を置いている。これらの側面は、プライバシー・バイ・デザイン・プロセスをうまく運用し、制度化するために不可欠です。組織の製品設計プロセスにおいてプライバシーを運用し、制度化するためには、プライバシー・バイ・デザインに対するリーダーシップのコミットメントを実証することが必要不可欠です。
Ecosystem and lifecycle	エコシステムとライフサイクル
A privacy by design approach can be applied to the broader information ecosystems in which both technologies and organizations operate and function. Privacy and consumer protection benefit from taking a holistic, integrative approach that considers as many contextual factors as possible (e.g. the type of consumer, their goal and intent in using a product, and the data the product will process for that consumer) – even (or especially) when these factors lie outside the direct control of any particular actor, organization, or component in the system. [see 5.5.3 a)].	プライバシー・バイ・デザインのアプローチは、テクノロジーと組織の両方が運用され機能する、より広い情報の生態系に適用することができます。プライバシーと消費者保護は、できるだけ多くの文脈的要因（例えば、消費者のタイプ、製品を使用する目的及び意図、製品がその消費者のために処理するデータ）を考慮する全体的、統合的なアプローチをとることによって恩恵を受ける。[5.5.3 a)を参照]。
Privacy by design applies to all products that use PII, whether physical goods, or intangible services such as software as a service, or a mixture of both. It is intended to be scalable to the needs of all types of organizations in different countries and different sectors, regardless of organization size or maturity.	プライバシー・バイ・デザインは、物理的な商品であれ、サービスとしてのソフトウェアのような無形のサービスであれ、あるいはその両方の混合物であれ、PIIを使用するすべての製品に適用されます。これは、組織の規模や成熟度に関係なく、様々な国や様々な分野のあらゆるタイプの組織のニーズに対応できるよう、拡張性を持たせることを意図している。
It is possible that additional privacy issues and a need for related controls are identified at any point in the product lifecycle, including during development or after use by consumers. Privacy by design methodologies support iterative approaches to product development, with supplementary privacy enhancements designed and deployed long after the initial design phase.	開発中や消費者による使用後など、製品ライフサイクルのどの時点でも、追加のプライバシー問題や関連する管理の必要性が特定される可能性がある。プライバシー・バイ・デザインの方法論は、製品開発における反復的なアプローチをサポートし、最初の設計段階のずっと後にプライバシーに関する補足的な強化が設計され、展開される。
Audience for this document	本文書の読者
The primary audiences for this document are those staff of organizations and third parties, who are responsible for the concept, design, manufacturing, management, testing, operation, service, maintenance and disposal of consumer goods and services.	本文書の主な読者は、消費財及びサービスのコンセプト、設計、製造、管理、試験、運用、サービス、保守及び廃棄に責任を有する組織及び第三者のスタッフである。

 

 

 

---

 

TRのほう...

・2023.01 ISO/TR 31700-2:2023 Consumer protection — Privacy by design for consumer goods and services — Part 2: Use cases

ISO/TR 31700-2:2023 Consumer protection — Privacy by design for consumer goods and services — Part 2: Use cases	ISO/TR 31700-2:2023 消費者保護 - 消費財及びサービスのためのプライバシー・バイ・デザイン - 第 2 部：ユースケース
Abstract	概要
This document provides illustrative use cases, with associated analysis, chosen to assist in understanding the requirements of 31700-1.	本書は、31700-1 の要求事項の理解を助けるために選んだ、例示的なユースケースとそれに関連する分析を提供するものである。
The intended audience includes engineers and practitioners who are involved in the development, implementation or operation of digitally enabled consumer goods and services.	対象読者は、デジタル化された消費財及びサービスの開発、実装又は運用に携わる技術者及び実務者である。

 

プレビュー...

・Preview

 

目次...

Foreword	まえがき
Introduction	序文
1 Scope	1 適用範囲
2 Normative references	2 参照規格
3 Terms and definitions	3 用語と定義
4 Abbreviated terms	4 省略語
5 Overview of ISO 31700-1 requirements and related concepts	5 ISO 31700-1要求事項及び関連概念の概要
5.1 ISO 31700-1 Requirements	5.1 ISO 31700-1要求事項
5.2 Related concepts	5.2 関連する概念
5.3 Viewpoints in the use cases	5.3 ユースケースにおける視点
5.3.1 General	5.3.1 一般
5.3.2 Consumer product viewpoint	5.3.2 消費者製品の視点
5.3.3 Engineering framework viewpoint	5.3.3 エンジニアリングフレームワークの視点
5.3.4 Ecosystem viewpoint	5.3.4 エコシステムの視点
6 Use case analysis	6 ユースケース分析
6.1 General	6.1 一般論
6.2 Use case template	6.2 ユースケーステンプレート
7 Use cases	7 ユースケース
7.1 General	7.1 一般的事項
7.2 On-line retailing	7.2 オンライン販売
7.2.1 On-line retailing use case main description	7.2.1 オンライン販売のユースケースの主な説明
7.2.2 On-line retailing consumer communication	7.2.2 オンライン小売業における消費者コミュニケーション
7.2.3 On-line retailing summary	7.2.3 オンラインショップの概要
7.2.4 On-line retailing general requirements	7.2.4 オンラインショップの一般要件
7.2.5 On-line retailing risk management	7.2.5 オンライン小売業におけるリスクマネジメント
7.2.6 On-line retailing development, deployment and operation	7.2.6 オンライン小売業の開発、展開、運用
7.2.7 On-line retailing end of PII lifecycle	7.2.7 オンラインリテイリングにおけるPIIライフサイクルの終了
7.3 Fitness company	7.3 フィットネス企業
7.3.1 Fitness company use case main description	7.3.1 フィットネス企業のユースケースの主な説明
7.3.2 Fitness company risk management of health application	7.3.2 フィットネス企業の健康アプリケーションのリスクマネジメント
7.3.3 Fitness company consumer communication	7.3.3 フィットネス企業の消費者コミュニケーション
7.4 Smart locks for homes front doors	7.4 家庭玄関ドア用スマートロック
7.4.1 Smart locks product line main description	7.4.1 スマートロックの製品群の主な説明
7.4.2 Smart locks basic configuration	7.4.2 スマートロックの基本構成
7.4.3 Smart locks colocation configuration	7.4.3 スマートロックのコロケーション構成
7.4.4 Smart locks family configuration	7.4.4 スマートロックのファミリー構成
7.4.5 Smart locks risk management	7.4.5 スマートロックのリスクマネジメント
7.4.6 Smart locks consumer communication	7.4.6 スマートロックの消費者通信
7.4.7 Smart locks development, deployment and operation	7.4.7 スマートロックの開発、展開、運用
Bibliography	参考文献

 

序文...

Introduction	序文
ISO 31700-1[1] provides high-level requirements and recommendations for organizations using privacy by design in the development, maintenance and operation of consumer goods and services. These are grounded in a consumer-focused approach, in which consumer privacy rights and preferences are placed at the heart of product development and operation.	ISO 31700-1[1]は、消費者向け製品及びサービスの開発、維持及び運用においてプライバシーバイデザインを用いる組織のための高レベルの要件及び勧告を規定している。これらは、消費者のプライバシーの権利及び嗜好を製品開発及び運用の中心に置くという、消費者に焦点を当てたアプローチに基づいている。
Use case help to identify, clarify and organize system requirements related to a set of goals, by illustrating a series of possible sequences of interactions between stakeholder(s) and system(s) in a particular ecosystem.	ユースケースは、特定のエコシステムにおける利害関係者とシステムとの間の一連の可能な相互作用 を示すことにより、一連の目標に関連するシステム要件の特定、明確化及び整理を助けるものである。
The use cases in this document use a template that is based on IEC 62559-2 [2] while enabling a focus on privacy by design challenges and on the ISO 31700-1 requirements.	本文書のユースケースは、IEC 62559-2 [2]に基づき、設計上の課題及びISO 31700-1の要求事項に焦点を当てることを可能にするテンプレートを使用している。
Although there are a wide range of use cases, this document provides three sample use cases to help further understand the implementation of ISO 31700-1: on-line retailing, a fitness company and smart locks.	ユースケースは多岐にわたるが、本書では、ISO 31700-1 の実装をより理解するために、オンライン小売業、フィットネス企業、スマートロックの 3 つのユースケースを例示している。

 

 

 

 

Introduction	序文
ISO 31700-1[1] provides high-level requirements and recommendations for organizations using privacy by design in the development, maintenance and operation of consumer goods and services. These are grounded in a consumer-focused approach, in which consumer privacy rights and preferences are placed at the heart of product development and operation.	ISO 31700-1[1]は、消費者向け製品及びサービスの開発、維持及び運用においてプライバシーバイデザインを用いる組織のための高レベルの要件及び勧告を規定している。これらは、消費者のプライバシーの権利及び嗜好を製品開発及び運用の中心に置くという、消費者に焦点を当てたアプローチに基づいている。
Use case help to identify, clarify and organize system requirements related to a set of goals, by illustrating a series of possible sequences of interactions between stakeholder(s) and system(s) in a particular ecosystem.	ユースケースは、特定のエコシステムにおける利害関係者とシステムとの間の一連の可能な相互作用 を示すことにより、一連の目標に関連するシステム要件の特定、明確化及び整理を助けるものである。
The use cases in this document use a template that is based on IEC 62559-2 [2] while enabling a focus on privacy by design challenges and on the ISO 31700-1 requirements.	本文書のユースケースは、IEC 62559-2 [2]に基づき、設計上の課題及びISO 31700-1の要求事項に焦点を当てることを可能にするテンプレートを使用している。
Although there are a wide range of use cases, this document provides three sample use cases to help further understand the implementation of ISO 31700-1: on-line retailing, a fitness company and smart locks.	ユースケースは多岐にわたるが、本書では、ISO 31700-1 の実装をより理解するために、オンライン小売業、フィットネス企業、スマートロックの 3 つのユースケースを例示している。