米国 NIST CSWP 40(初期公開ドラフト) NISTプライバシー枠組み 1.1 (2025.04.14)
こんにちは、丸山満彦です。
NISTが、CSWP 40(初期公開ドラフト) NISTプライバシー枠組み 1.1 を公表し、意見募集をしていますね...
● NIST - ITL
・NIST CSWP 40 (Initial Public Draft) NIST Privacy Framework 1.1
NIST CSWP 40 (Initial Public Draft) NIST Privacy Framework 1.1 | NIST CSWP 40(初期公開ドラフト) NISTプライバシー枠組み 1.1 |
Announcement | 発表 |
The NIST Privacy Framework is a “living” tool meant to evolve to meet stakeholder needs, and the time has come to update to Version 1.1. This update builds on the success of Privacy Framework 1.0 by responding to current privacy risk management needs, realigning with NIST Cybersecurity Framework (CSF) 2.0, and enhancing usability. | NISTプライバシーフレームワークは、ステークホルダーのニーズに応えるべく進化する「生きた」ツールであり、バージョン1.1への更新の時期が到来した。今回の更新は、プライバシーリスクマネジメントの現在のニーズへの対応、NISTサイバーセキュリティフレームワーク(CSF)2.0との再調整、およびユーザビリティの向上により、プライバシーフレームワーク1.0の成功を基盤としている。 |
The following resources are included with the Privacy Framework 1.1 IPD release: | プライバシーフレームワーク1.1 IPDリリースには、以下のリソースが含まれている。 |
・Privacy Framework 1.1 IPD Highlights video that summarizes the development process and reviews key updates | ・開発プロセスを要約し、主な更新内容をレビューする「プライバシーフレームワーク1.1 IPDハイライト」ビデオ |
・Mapping of Privacy Framework 1.0 Core to Privacy Framework 1.1 Core to help organizations trace changes to Core Categories and Subcategories between Framework versions | ・フレームワークのバージョン間でコアカテゴリーおよびサブカテゴリーの変更点を追跡するのに役立つ「プライバシーフレームワーク1.0コアからプライバシーフレームワーク1.1コアへのマッピング |
NIST welcomes stakeholder feedback on the Privacy Framework 1.1 IPD by June 13, 2025. | NISTは、2025年6月13日までにプライバシーフレームワーク1.1 IPDに関する利害関係者のフィードバックを歓迎する。 |
Abstract | 要約 |
The NIST Privacy Framework 1.1 is a voluntary tool developed in collaboration with stakeholders intended to help organizations identify and manage privacy risk to build innovative products and services while protecting individuals’ privacy. It provides high-level privacy risk management outcomes that can be used by any organization to better understand, assess, prioritize, and communicate its privacy activities. This document introduces the Privacy Framework and privacy risk management practices, highlights the Framework’s basic elements, and offers examples of how it can be used. | NISTプライバシーフレームワーク1.1は、ステークホルダーとの協働により開発された自主的なツールであり、個人のプライバシーを防御しながら革新的な製品やサービスを構築するために、組織がプライバシーリスクを識別および管理することを支援することを目的としている。このフレームワークは、プライバシー活動の理解、アセスメント、優先順位付け、およびコミュニケーションを改善するために、あらゆる組織が利用できるプライバシーリスクマネジメントの成果を提供する。本書では、プライバシーフレームワークとプライバシーリスクマネジメントの実践を紹介し、フレームワークの基本要素を強調し、その使用方法の例を示す。 |
・[PDF] CSWP.40.ipd
目次の図表一覧
Executive Summary | エグゼクティブサマリー |
1. Privacy Framework Introduction | 1. プライバシー枠組みの序文 |
1.1. Overview of the Privacy Framework | 1.1. プライバシー枠組みの概要 |
1.2. Privacy Risk Management | 1.2. プライバシーリスクマネジメント |
1.2.1. Cybersecurity and Privacy Risk Management | 1.2.1. サイバーセキュリティとプライバシーリスクマネジメント |
1.2.2. Artificial Intelligence and Privacy Risk Management | 1.2.2. 人工知能とプライバシーリスクマネジメント |
1.2.3. Privacy Risk Assessment | 1.2.3. プライバシーリスクアセスメント |
1.3. Document Overview | 1.3. 文書概要 |
2. Privacy Framework Basics | 2. プライバシー枠組みの基本 |
2.1. Core | 2.1. コア |
2.2. Profiles | 2.2. プロファイル |
2.3. Tiers | 2.3. ティア |
3. How to Use the Privacy Framework | 3. プライバシーフレームワークの利用方法 |
References | 参考文献 |
Appendix A. Privacy Framework Core | 附属書 A. プライバシーフレームワークのコア |
Appendix B. Glossary | 附属書 B. 用語集 |
Appendix C. Acronyms | 附属書 C. 略語 |
Appendix D. Privacy Risk Management Practices | 附属書 D. プライバシーリスクマネジメントの実践 |
Appendix E. Tiers Definitions. | 附属書 E. ティアの定義 |
List of Tables | 表の一覧 |
Table 1: Privacy Framework 1.1 Function and Category Unique Identifiers | 表 1: プライバシーフレームワーク 1.1 機能とカテゴリー 固有の識別子 |
Table 2: Privacy Framework Core | 表 2: プライバシーフレームワークのコア |
Table 3: Privacy Engineering and Security Objectives | 表 3: プライバシーエンジニアリングとセキュリティの目標 |
List of Figures | 図の一覧 |
Figure 1: Core, Organizational Profiles, and Tiers | 図1:コア、組織プロファイル、およびティア |
Figure 2: Cybersecurity and Privacy Risk Relationship | 図2:サイバーセキュリティとプライバシーリスクの関係 |
Figure 3: Relationship Between Privacy Risk and Enterprise Risk | 図3:プライバシーリスクとエンタープライズリスクの関係 |
Figure 4: Privacy Framework Core Structure | 図4:プライバシー枠組みのコア構造 |
Figure 5: Relationship Between Core and Profiles | 図5:コアとプロファイルの関係 |
Figure 6: Privacy Framework Tiers | 図6:プライバシー枠組みのティア |
Executive Summary | エグゼクティブサマリー |
For more than two decades, the Internet and associated information technologies have driven unprecedented innovation, economic value, and improvement in social services. Many of these benefits are fueled by data about individuals that flow through a complex ecosystem. As a result, individuals may not realize the potential consequences for their privacy as they interact with systems, products, and services. At the same time, organizations may not realize the full extent of these consequences for individuals, for society, or for their enterprises, which can affect their brands, their finances, and their future prospects for growth. | インターネットと関連情報技術は、過去20年以上にわたり、かつてない革新、経済的価値、社会サービスの改善を推進してきた。これらの恩恵の多くは、複雑なエコシステムを通じて流れる個人に関するデータによってもたらされている。その結果、個人にとっては、システム、製品、サービスとやりとりする際に、プライバシーに潜在する影響について認識していない可能性がある。同時に、組織は、個人、社会、またはエンタープライズに及ぼす影響の全容を把握していない可能性があり、それはブランド、財務、および将来の成長見通しに影響を及ぼす可能性がある。 |
Following a transparent, consensus-based process including both private and public stakeholders, the National Institute of Standards and Technology (NIST) has updated the Privacy Framework to Version 1.1 (Privacy Framework 1.1), to meet stakeholder privacy risk management needs, maintain alignment with the NIST Cybersecurity Framework 2.0 | 国立標準技術研究所(NIST)は、民間および公共の利害関係者を含む透明性のある合意に基づくプロセスを経て、プライバシーフレームワークをバージョン1.1(プライバシーフレームワーク1.1)に更新した。これは、利害関係者のプライバシーリスクマネジメントのニーズに応えるとともに、NISTサイバーセキュリティフレームワーク2.0( |
(Cybersecurity Framework or CSF 2.0), and provide information on artificial intelligence (AI) and privacy risk management. Privacy Framework 1.1 updates include: | (サイバーセキュリティ枠組みまたは CSF 2.0)との整合性を維持し、人工知能(AI)とプライバシーリスクマネジメントに関する情報を提供することを目的としている。プライバシー枠組み 1.1 の更新内容は以下の通りである。 |
• Targeted revisions and restructuring of the Core | • コアの改訂と再構成 |
• A new Section (1.2.2) on AI and privacy risk management | • AI とプライバシーリスクマネジメントに関する新しいセクション(1.2.2) |
• Relocation of Section 3 guidelines from front matter to the NIST Privacy Framework website[1] | • 第 3 項のガイドラインを前文から NIST プライバシー枠組みウェブサイト[1] に移行 |
The Privacy Framework can support organizations in: | プライバシー・フレームワークは、以下のような形で組織を支援することができる。 |
• Building customers’ trust by supporting ethical decision-making in product and service design or deployment that optimizes beneficial uses of data while minimizing adverse consequences for individuals’ privacy and society as a whole;[2] | • 個人プライバシーや社会全体に及ぼす悪影響を最小限に抑えつつ、データの有益な利用を最適化する製品やサービスの設計や展開における倫理的な意思決定を支援することで、顧客の信頼を構築する。[2] |
• Fulfilling current compliance obligations, as well as future-proofing products and services to meet these obligations in a changing technological and policy environment; and | • 現在のコンプライアンス義務を満たし、また、技術や政策環境の変化に応じて、これらの義務を満たすための製品やサービスを将来にわたって保証する。 |
• Facilitating communication about privacy practices with individuals, business partners, assessors, and regulators. | • 個人、ビジネスパートナー、評価者、規制当局とのプライバシー慣行に関するコミュニケーションを促進する。 |
Deriving benefits from data while simultaneously managing risks to individuals’ privacy is not well-suited to one-size-fits-all solutions. Like building a house, where homeowners make layout and design choices while relying on a well-engineered foundation, privacy protection should allow for individual choices, as long as effective privacy risk mitigations are already engineered into products and services. The Privacy Framework—through a risk- and outcome-based approach—is flexible enough to address diverse privacy needs, enable more innovative and effective solutions that can lead to better outcomes for individuals and organizations, and stay current with technology trends. | データから利益を引き出すと同時に、個人のプライバシーに対するリスクを管理することは、画一的なソリューションには適していない。住宅建設と同様に、住宅所有者が設計やレイアウトを選択する際に、しっかりと設計された基礎に頼るように、プライバシー保護は、効果的なプライバシーリスク緩和策がすでに製品やサービスに組み込まれている限り、個人の選択を可能にするべきである。プライバシーフレームワークは、リスクおよび成果に基づくアプローチにより、多様なプライバシーニーズに対応できる柔軟性を備え、個人および組織により良い成果をもたらすより革新的で効果的なソリューションを実現し、テクノロジーのトレンドに追随することができる。 |
Privacy Framework 1.1 follows the structure of CSF 2.0 [1] to facilitate the use of both frameworks together. Like the Cybersecurity Framework, the Privacy Framework is composed of three components: Core, Organizational Profiles, and Tiers. Each component reinforces privacy risk management through the connection between business and mission drivers, organizational roles and responsibilities, and privacy protection activities. | プライバシーフレームワーク1.1は、CSF 2.0 [1] の構造に従っており、両方のフレームワークを併用しやすくしている。プライバシー枠組みは、サイバーセキュリティ枠組みと同様に、コア、組織プロファイル、ティアの3つの要素で構成されている。各要素は、ビジネスとミッション推進要因、組織の役割と責任、プライバシー保護活動の関連性を通じて、プライバシーリスクマネジメントを強化する。 |
• The Core enables a dialogue—from the executive level to the implementation/operations level—about important privacy protection activities and desired outcomes. | • コアは、経営レベルから実装/運用レベルまで、重要なプライバシー保護活動と期待される成果について対話することを可能にする。 |
• Organizational Profiles enable the prioritization of the outcomes and activities that best meet organizational privacy values, mission or business needs, and risks. | • 組織プロファイルは、組織のプライバシー価値、ミッション、ビジネスニーズ、リスクに最も適した成果と活動の優先順位付けを可能にする。 |
• Tiers support decision-making and communication about the sufficiency of organizational processes and resources to manage privacy risk. | • プライバシーリスクを管理するための組織プロセスとリソースの十分性に関する意思決定とコミュニケーションを支援する。 |
In summary, the Privacy Framework is intended to help organizations build better privacy foundations by bringing privacy risk into parity with their broader enterprise risk portfolio. | まとめると、プライバシーフレームワークは、プライバシーリスクをより広範なエンタープライズリスクポートフォリオと同等に扱うことで、組織がより優れたプライバシー基盤を構築するのを支援することを目的としている。 |
[1] For more information on using the Privacy Framework 1.1, visit https://www.nist.gov/privacy-framework/using-privacy-framework-11. | [1] プライバシー枠組み1.1の使用に関する詳細情報については、https://www.nist.gov/privacy-framework/using-privacy-framework-11を参照のこと。 |
[2] There is no objective standard for ethical decision-making; it is grounded in the norms, values, and legal expectations in a given society. | [2] 倫理的な意思決定のための客観的な標準は存在しない。それは、特定の社会における規範、価値観、法的期待に基づいている。 |
追加情報
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.03.10 米国 NIST IR 8286 Rev. 1(初期公開草案) サイバーセキュリティとエンタープライズリスクマネジメント(ERM)の統合他 (2025.02.26)
・2024.12.26 米国 NIST IR 8467 (第2次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイル (2024.12.16)
・2024.11.14 米国 NIST CSWP 34(初公開ドラフト)テレヘルス・スマートホーム統合におけるサイバーセキュリティとプライバシーリスクの低減: ヘルスケア及び公衆衛生部門のリスクマネジメントのアプローチ
・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書
・2024.03.07 米国 NSIT サイバーセキュリティ・フレームワーク(CSF)2.0 関連 SP 1299, 1300, 1301, 1302, 1303, 1305 (2024.02.26)
・2024.03.06 米国 NIST CSWP 32(初期公開ドラフト)サイバーセキュリティフレームワーク 2.0: コミュニティプロファイル作成ガイド (2024.02.26)
・2024.01.28 米国 NIST Privacy Framework 1.1への改定に向けて活動を開始...
・2023.08.19 米国 NIST IR 8477(初公開ドラフト):文書標準、規制、フレームワーク、ガイドライン間の関係をマッピングする: サイバーセキュリティとプライバシーの概念マッピングの開発
・2023.08.19 米国 NIST サイバーセキュリティフレームワーク 2.0リファレンスツール
Recent Comments