サイトトップへこのカテゴリの一覧へ

X 9250:2017 (ISO/IEC 29100:2011) 

(1) 

目 次 

ページ 

序文 ··································································································································· 1 

1 適用範囲························································································································· 2 

2 用語及び定義 ··················································································································· 2 

3 記号及び略語 ··················································································································· 6 

4 プライバシーフレームワークの基本要素 ··············································································· 6 

4.1 プライバシーフレームワークの概要··················································································· 6 

4.2 登場者(actor)及び役割 ································································································· 6 

4.3 インタラクション ·········································································································· 7 

4.4 Pllの認識 ····················································································································· 8 

4.5 プライバシー安全対策要件 ····························································································· 12 

4.6 プライバシーポリシー ··································································································· 15 

4.7 プライバシー管理策 ······································································································ 16 

5 この規格におけるプライバシー原則 ···················································································· 16 

5.1 プライバシー原則の概要 ································································································ 16 

5.2 同意及び選択(Consent and choice) ················································································· 17 

5.3 目的の正当性及び明確化(Purpose legitimacy and specification) ············································ 18 

5.4 収集制限(Collection limitation) ····················································································· 18 

5.5 データの最小化(Data minimization) ··············································································· 18 

5.6 利用,保持及び開示の制限(Use, retention and disclosure limitation) ······································ 19 

5.7 正確性及び品質(Accuracy and quality) ··········································································· 19 

5.8 公開性,透明性及び通知(Openness, transparency and notice) ·············································· 19 

5.9 個人参加及びアクセス(Individual participation and access) ················································· 20 

5.10 責任(Accountability) ································································································· 20 

5.11 情報セキュリティ(Information security) ········································································ 21 

5.12 プライバシーコンプライアンス(Privacy compliance) ······················································· 22 

附属書A(参考)この規格の概念とJIS Q 27000の概念との対応表 ··············································· 23 

参考文献 ···························································································································· 24 

X 9250:2017 (ISO/IEC 29100:2011) 

(2) 

まえがき 

この規格は,工業標準化法第12条第1項の規定に基づき,一般財団法人日本情報経済社会推進協会

(JIPDEC)及び一般財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格を制定すべ

きとの申出があり,日本工業標準調査会の審議を経て,経済産業大臣が制定した日本工業規格である。 

この規格は,著作権法で保護対象となっている著作物である。 

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。 

日本工業規格          JIS 

X 9250:2017 

(ISO/IEC 29100:2011) 

情報技術−セキュリティ技術− 

プライバシーフレームワーク 

(プライバシー保護の枠組み及び原則) 

Information technology-Security techniques-Privacy framework 

序文 

この規格は,2011年に第1版として発行されたISO/IEC 29100を基にして,技術的な内容及び構成を変

更することなく作成した日本工業規格である。 

なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。 

この規格は,情報通信技術(以下,ICTという。)システムにおける個人識別可能情報(以下,PIIとい

う。)の保護のための概念レベルの枠組み(フレームワーク)を提供する。この規格は一般論であり,組織

の観点,技術の観点,及び手続の観点から,プライバシーフレームワーク全体を扱うものである。 

本プライバシーフレームワークは,組織が,ICT環境におけるPIIに関連するプライバシー安全対策要

件を定義するための一助となることを目的として,次の事項を提供する。 

− 一般的なプライバシーについての用語の規定 

− PIIの処理における登場者(actor)及びその役割の定義 

− プライバシー安全対策要件の説明 

− 既知のプライバシー原則のリファレンス 

この規格が参照するプライバシー安全対策要件は,一部の法域では,PIIを保護するための法的要求事項

を補完するものとみなされるかもしれない。PIIを処理するICTの増加に伴い,PIIの保護についての共通

理解を提供する国際的な情報セキュリティ標準が重要である。この規格は,PII処理に関連する事項に焦点

を当てることによって,既存のセキュリティ標準を拡張することを目的としている。 

PIIの商業利用及び商業的価値の増加,法域をまたがるPIIの共有,及びICTシステムの複雑化によって,

組織にとってプライバシーを保障し様々な適用される法令との整合性を確保することが難しくなっている。

プライバシー利害関係者は,プライバシーの問題を適切に扱い,PIIの誤った利用を避けることによって,

不確かさ及び不信感を回避することができる。 

この規格を利用することによって次の事項が実現される。 

− PIIを扱い,かつ,保護する,ICTシステムの設計,実装,運用及び保守における手助けとなる。 

− ICTシステムにおけるPII保護を可能にする革新的な解決策を促進する。 

− ベストプラクティスの利用を通じて,組織のプライバシープログラムを改善する。 

この規格で提供されるプライバシーフレームワークは,例えば,次に示すような更なるプライバシーの

X 9250:2017 (ISO/IEC 29100:2011) 

標準化の取組の基礎として役立てることができる。 

− 技術的なアーキテクチャのリファレンス 

− 具体的なプライバシー技術の実装及び利用,並びに全体的なプライバシーマネジメント 

− 外部委託したデータ処理のプライバシー管理策 

− プライバシーリスクアセスメント 

− 具体的な工業規格 

一部の法域では,ISO/IEC JTC 1/SC 27 WG 5 Standing Document 2 (WG 5 SD2)−Official Privacy 

Documents References [3]で参照される幾つかの文書,又は他の適用される法令及び規制の遵守が要求され

るかもしれない。ただし,この規格は,世界的なポリシーのひな(雛)形又は法的枠組みとなることを目

的とするものではない。 

適用範囲 

この規格は,一つのプライバシーフレームワークを提供する。 

注記 この規格では,次に示す事項の全てを含むものをプライバシーフレームワークと呼ぶ。 

− 一般的なプライバシーについての用語を規定する。 

− PIIの処理における登場者(actor)及びその役割を定義する。 

− プライバシー安全対策の実施における考慮点を説明する。 

− 情報技術に関する既知のプライバシー原則のリファレンスを提供する。 

この規格は,PII処理のためにプライバシー管理策が必要となるICTシステム又はサービスについて,

仕様の策定,調達,設計,デザイン,開発,試験,維持,管理及び運用に関与する個人及び組織に適用す

ることができる。 

注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。 

ISO/IEC 29100:2011,Information technology−Security techniques−Privacy framework(IDT) 

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ

とを示す。 

用語及び定義 

この規格で用いる主な用語及び定義は,次による。 

注記 具体的なプライバシーの文脈でJIS Q 27000シリーズの使用が容易になるように,かつ,JIS Q 

27000の文脈にプライバシーの概念を組み込みやすいように,附属書Aの対応表では,この規

格で使用される概念に対応するJIS Q 27000の概念について示す。 

2.1 

匿名性(anonymity) 

PII主体(2.11)を直接又は間接に識別する(2.6)ことを許さない情報の特徴。 

2.2 

匿名化(anonymization) 

PII主体を直接又は間接に識別することができないように,PII(2.9)を非可逆的に変更するプロセスで

あって,PII管理者(2.10)が単独又は他の者と共同で行っても再識別することができないプロセス。 

X 9250:2017 (ISO/IEC 29100:2011) 

2.3 

匿名化データ(anonymized data) 

PIIの匿名化プロセスの結果として生成されたデータ。 

2.4 

同意(consent) 

PII主体による,自分のPIIを処理されることへの,具体的かつ十分な説明を受けた上での自発的な合意。 

2.5 

識別可能性(identifiability) 

与えられたPIIの集合に基づいて,PII主体が直接又は間接に識別される状態。 

2.6 

識別する(identify) 

PII主体と,PII又はPIIの集合とをひも(紐)付ける。 

2.7 

識別要素(identity) 

PII主体を識別することができる,属性の集合。 

2.8 

オプトイン(opt-in) 

自分のPIIが特定の目的のために処理されることに対して,PII主体が明示的な事前の同意を表明しなけ

ればならない,プロセス又はポリシーの種類。 

注記 プライバシー原則(2.18)の“同意及び選択(consent and choice)”に関して使われることが多

い他の用語として,“オプトアウト(opt-out)”がある。これは,PII主体が同意を保留若しくは

撤回,又は特定の処理を拒否するために,別の行動をとることを要求するプロセス又はポリシ

ーを指す。オプトアウトポリシーを使用する場合には,PII管理者が自分の意図のとおりにPII

を処理する権利をもっていることが前提となる。この権利は,同意とは異なるPII主体の幾つ

かの行動(例 オンラインショップでの発注)によって発生するものと考えられる。 

2.9 

個人識別可能情報,PII(personally identifiable information, PII) 

a) その情報に関連するPII主体を識別するために利用され得る情報,又はb) PII主体に直接若しくは間

接にひも(紐)付けられるか又はその可能性がある情報。 

注記 PII主体が識別可能か否かを判断するには,その個人を識別するためにそのデータを保有するプ

ライバシー利害関係者(2.22),又は他の者が合理的に利用することができる,全ての手段を考

慮するのがよい。 

2.10 

PII管理者(PII controller) 

私的な目的でデータを使う個人を除く,PIIを処理するための目的及び手段を決定するプライバシー利害

関係者。 

注記 PII管理者は,PIIの処理を代行するよう他の者[例 PII処理者(2.12)]に指示することがあ

る。この処理の責任は,依然としてPII管理者にある。 

2.11 

PII主体(PII principal) 

X 9250:2017 (ISO/IEC 29100:2011) 

PIIに関連する個人。 

注記 法域及び特定のデータ保護並びにプライバシーに関する法令によっては,“PII主体”という用

語の代わりに“データ主体”という同意語を使用することができる。 

2.12 

PII処理者(PII processor) 

PII管理者に代わり,かつ,その指示に従ってPIIを処理するプライバシー利害関係者。 

2.13 

プライバシー侵害(privacy breach) 

一つ以上の関連するプライバシー安全対策要件(2.21)に反してPIIが処理される状況。 

2.14 

プライバシー管理策(privacy controls) 

プライバシーリスク(2.19)の起こりやすさ又はそれが起きた結果の影響を低減することによって,プ

ライバシーリスクを処理する対策。 

注記1 プライバシー管理策には,組織的,物理的及び技術的な対策が含まれる。例えば,ポリシー,

手順,ガイドライン,適法契約,経営慣行,組織構造などである。 

注記2 プライバシー管理策は,安全対策又は対応策の同意語として使用される。 

2.15 

プライバシー強化技術,PET(privacy enhancing technology, PET) 

PIIを除去若しくは削減することによって,又は,不必要な及び/又は望まれないPII処理(2.23)を回

避することによって,ICTシステムの機能を阻害することなくプライバシーを保護する,ICTの手段,製

品又はサービスから構成されるプライバシー管理策。 

注記1 PETの例としては,次のような処理を行う匿名化ツール及び仮名化(2.24)ツールがある。

ただし,これらだけに限定されるものではない。 

a) PIIを除去,削減,マスク又は非識別化する。 

b) 不必要な,権限外の,及び/又は望まれないPII処理を回避する。 

注記2 マスクするとは,PIIの要素を覆い隠すプロセスのことである。 

2.16 

プライバシーポリシー(privacy policy) 

PII管理者が正式に表明した,特定の状況におけるPII処理に関連する全般的な意図及び指示,並びに規

則及びコミットメント。 

2.17 

プライバシー選好(privacy preferences) 

自分のPIIが特定の目的のためにどのように処理されるのがよいかについての,PII主体の具体的な選択。 

2.18 

プライバシー原則(privacy principles) 

PIIがICTシステムで処理される場合に,そのプライバシー保護を律する共有された価値観の集合。 

2.19 

プライバシーリスク(privacy risk) 

プライバシーに対する不確かさの影響。 

注記1 JIS Q 0073 [1]及びJIS Q 31000 [2]では,リスクは“目的に対する不確かさの影響”と定義さ

X 9250:2017 (ISO/IEC 29100:2011) 

れている。 

注記2 不確かさとは,事象,その結果又はその起こりやすさの,関連情報,理解又は知識がたとえ

部分的にでも欠落している状態をいう。 

2.20 

プライバシーリスクアセスメント(privacy risk assessment) 

PII処理に関するリスク特定,リスク分析及びリスク評価のプロセス全体。 

注記 このプロセスは,プライバシー影響評価とも呼ばれる。 

2.21 

プライバシー安全対策要件(privacy safeguarding requirements) 

PIIを処理する場合に,PIIのプライバシー保護について組織が考慮しなければならない一連の要求事項。 

2.22 

プライバシー利害関係者(privacy stakeholder) 

PIIの処理に関連した意思決定若しくは活動に影響を与える,当該意思決定若しくは活動から影響を受け

ることがある,又は影響を受けると認識している,個人,法人,公共団体,政府機関又は他の団体。 

2.23 

PII処理(processing of PII) 

PIIに対して実施される操作又は一連の操作。 

注記 PIIの処理操作の例としては,PIIの収集,保管,変更,修正,参照,開示,匿名化,仮名化,

配布又は他の方法で利用可能にすること,削除,破棄などがある。ただし,これらだけに限定

されるものではない。 

2.24 

仮名化(pseudonymization) 

PIIに適用される,識別情報を別名に置換するプロセス。 

注記1 仮名化は,PII主体自身又はPII管理者のいずれかによって実施することができる。仮名化を

利用すると,PII主体は,資源若しくはサービスに(又はサービスとサービスとの間で)PII

主体の識別要素を開示せずに,その使用の責任をPII主体が負ったまま,資源又はサービス

を一貫して利用することができる。 

注記2 仮名化は,別名とそれにひも(紐)付けられたデータとに基づいてPII主体の識別要素を判

別することができる(限られた)プライバシー利害関係者が,仮名化されたデータのPII管

理者のほかにも存在するという可能性を排除しない。 

2.25 

二次利用(secondary use) 

最初の条件とは異なる条件で行われるPII処理。 

注記 最初の条件とは異なる条件には,例として,PIIの処理の新しい目的,PIIの新しい受領者など

がある。 

2.26 

機微PII(sensitive PII) 

PII主体の最も私的な領域に関連する情報のように,その性質が機微であるか,又はPII主体に重大な影

響を及ぼす可能性があるPIIのカテゴリ。 

注記 一部の法域又は特定の状況では,PIIの性質を勘案して機微PIIが定義される。次を含むような

X 9250:2017 (ISO/IEC 29100:2011) 

ものは機微PIIとされ得る。 

a) 人種 

b) 政治に関する意見,宗教,又はその他の信条 

c) 健康,性生活,又は刑事上の有罪判決に関する個人のデータ 

d) その他の機微であるとされる可能性のある情報 

2.27 

第三者(third party) 

PII主体,PII管理者及びPII処理者,並びに,PII管理者又はPII処理者による直接の許可の下でデータ

を処理する権限が与えられた個人を除く,プライバシー利害関係者。 

記号及び略語 

この規格で用いる主な略語は,次による。 

ICT 

情報通信技術(Information and Communication Technology) 

PET プライバシー強化技術(Privacy Enhancing Technology) 

PII 

個人識別可能情報(Personally Identifiable Information) 

プライバシーフレームワークの基本要素 

4.1 

プライバシーフレームワークの概要 

次の構成要素は,ICTシステムにおけるプライバシー及びPII処理に関連しており,この規格で示すプ

ライバシーフレームワークを構成する。 

− 登場者(actor)及び役割 

− インタラクション 

− PIIの認識 

− プライバシー安全対策要件 

− プライバシーポリシー 

− プライバシー管理策 

このプライバシーフレームワークを作成するに当たり,他の公式の情報源による概念,定義及び勧告が

考慮されている。これらの情報源については,ISO/IEC JTC 1/SC 27 WG 5 Standing Document 2 (WG 5 

SD2)−Official Privacy Documents References [3] に示されている。 

4.2 

登場者(actor)及び役割 

この規格の目的を達成するに当たって,PII処理における登場者(actor)を特定することが重要である。

PII処理の登場者(actor)には四つの種類がある。PII主体,PII管理者,PII処理者及び第三者である。 

4.2.1 

PII主体 

PII主体は,処理のためPII管理者及びPII処理者に自分のPIIを提供する。適用される法令に別段の定

めがない限り,PII主体は,同意を与え,自分のPIIがどのように処理されるのがよいかに対するプライバ

シー選好を決定する。PII主体には,例えば,会社の人事システムに記載された従業員,信用情報で言及さ

れた消費者,電子カルテに記載された患者が含まれる。PII主体とみなされるためには,必ずしも各個人が

名前で直接的に識別されなくてもよい。PIIが関連する個人を間接的に識別することができる場合には(例 

口座番号若しくは社会保障番号によって,又は利用可能な属性を組み合わせて),当該個人は,そのPIIの

X 9250:2017 (ISO/IEC 29100:2011) 

集合に対してPII主体であるとみなされる。 

4.2.2 

Pll管理者 

PII管理者は,なぜ(目的)及びどのように(手段),PII処理が行われるかを決定する。PII管理者は,

その管理下でPII処理がなされる間,このフレームワークのプライバシー原則が遵守されることを確実に

するのがよい(例 必要なプライバシー管理策を実施することによって)。(同じ又は異なる正当な目的の

ために)同じPIIの集合又はPIIについて実施される一連の操作に対して,複数のPII管理者がいる可能性

もある。この場合には,PII処理においてプライバシー原則が確実に遵守されるように,その複数のPII管

理者は,協力して必要な手配を行わなければならない。また,PII管理者は,処理の運用の全部又は一部を

別のプライバシー利害関係者に代行させることもできる。PII管理者が機微PIIを処理しているか否かを,

PII管理者は慎重に評価するのがよい。また,関連する法域で規定された要求事項,及びプライバシーリス

クアセスメントで特定されたPII主体に起こり得る悪影響に基づき,妥当かつ適切なプライバシー管理策

及びセキュリティ管理策を実施するのがよい。 

4.2.3 

Pll処理者 

PII処理者は,PII管理者に代わりPII処理を実施し,PII管理者に代わり又はその指示に従い行動し,規

定されたプライバシー保護要件を遵守し,かつ,対応するプライバシー管理策を実施する。 

一部の法域では,PII処理者は,契約によって拘束される。 

4.2.4 

第三者 

第三者は,PII管理者又はPII処理者からPIIを受け取ることができる。第三者は,PII管理者に代わり

PIIを処理することはない。一般に,第三者は,当該PIIを受け取った時には,それ自身がPII管理者にな

る。 

4.3 

インタラクション 

4.2で特定した登場者(actor)は,様々な方法で互いにPIIのやりとり(インタラクション)をすること

ができる。PII主体,PII管理者及びPII処理者の間において生じ得るPIIの流れについては,次のシナリオ

に特定できる。 

a) PII主体がPII管理者にPIIを提供する(例 PII管理者によって提供されるサービスに登録し,PII主

体がPII管理者にPIIを提供する場合)。 

b) PII管理者がPII処理者にPIIを提供し,PII処理者は,PII管理者に代わりそのPIIを処理する(例 外

部委託契約の一部として,PII管理者がPII処理者にPIIを提供し,PII処理者は,PII管理者に代わり

そのPIIを処理する場合)。 

c) PII主体がPII処理者にPIIを提供し,PII処理者がPII管理者に代わりそのPIIを処理する。 

d) PII管理者がPII主体に,PII主体と関連するPIIを提供する(例 PII主体の要求に従って,PII管理者

がPII主体に,PII主体と関連するPIIを提供する場合)。 

e) PII処理者がPII主体にPIIを提供する(例 PII管理者の指示に従って,PII処理者がPII主体にPIIを

提供する場合)。 

f) 

PII処理者がPII管理者にPIIを提供する(例 PII処理者が指示されたサービスを実施した後,PII処

理者がPII管理者にPIIを提供する場合)。 

PII主体,PII管理者,PII処理者及び第三者のこれらのシナリオにおける役割を表1に示す。 

PII処理者と第三者とは,区別する必要がある。PII処理者にPIIが送付されても,PIIの法的規制は元の

PII管理者に残る一方で,第三者は,当該PIIを受け取った時には,それ自身がPII管理者になり得るから

background image

X 9250:2017 (ISO/IEC 29100:2011) 

である。例えば,第三者が,PII管理者から受け取ったPIIを更に他の者に提供することを決めた場合には,

当該第三者自身がPII管理者として行動することから,もはや第三者とはみなされない。 

PII管理者及びPII処理者の側と第三者の側とにおいて生じ得るPIIの流れについては,次のシナリオに

特定できる。 

g) PII管理者が第三者にPIIを提供する(例 業務契約においてPII管理者が第三者にPIIを提供する場

合)。 

h) PII処理者が第三者にPIIを提供する(例 PII管理者の指示に従ってPII処理者が第三者にPIIを提供

する場合)。 

PII管理者及び第三者のこれらのシナリオにおける役割を表1にも示す。 

表1−PII主体,PII管理者,PII処理者及び第三者の間において生じ得るPIIの流れ,それぞれの役割 

シナリオ 

PII主体 

PII管理者 

PII処理者 

第三者 

シナリオa) 

PII提供者 

PII受領者 

− 

− 

シナリオb) 

− 

PII提供者 

PII受領者 

− 

シナリオc) 

PII提供者 

− 

PII受領者 

− 

シナリオd) 

PII受領者 

PII提供者 

− 

− 

シナリオe) 

PII受領者 

− 

PII提供者 

− 

シナリオf) 

− 

PII受領者 

PII提供者 

− 

シナリオg) 

− 

PII提供者 

− 

PII受領者 

シナリオh) 

− 

− 

PII提供者 

PII受領者 

4.4 

Pllの認識 

個人を識別可能とみなすのがよいか否かを判断するには,複数の要因を考慮する必要がある。特に,そ

のデータを保持するプライバシー利害関係者,又は他の者が合理的に使用することができる,当該個人を

識別する全ての手段を考慮するのがよい。ICTシステムは,PII主体にそのようなPIIを認識させ,かつ,

その情報の共有について適切な管理策を個人に提供する仕組みを支援するのがよい。4.4.1〜4.4.7では,PII

主体を識別可能とみなすのがよいか否かを判断する方法について,更に説明する。 

4.4.1 

識別子 

場合によっては,PII主体の識別可能性について非常に明確な場合もある(例 PII主体を指し示す,又

はPII主体と情報を共有するために利用される識別子が,情報に含まれる,又は情報に結び付けられてい

る場合)。少なくとも次の場合には,情報はPIIであるとみなすことができる。 

− 情報が個人を指し示す識別子を含む,又は当該識別子と結び付けられている場合(例 社会保障番号)。 

− 情報が個人と関連付けることができる識別子を含む,又は当該識別子と結び付けられている場合(例 

パスポート番号,口座番号)。 

− 情報が識別された個人とやりとりするために利用することができる識別子を含む,又は当該識別子と

結び付けられている場合(例 正確な地理的位置,電話番号)。 

− 情報が上の識別子のいずれかにデータをひも(紐)付けるリファレンスを含む場合。 

4.4.2 

区別に役立つ他の特徴 

情報をPIIとみなすためには,情報が識別子と結び付けられている必要は必ずしもない。情報が個人を

他の個人と区別する特徴を含んでいる,又は当該特徴に結び付けられている場合も,情報はPIIとみなさ

X 9250:2017 (ISO/IEC 29100:2011) 

れる[例 バイオメトリックデータ1)]。 

注1) “バイオメトリックデータ”とは,バイオメトリック認証及び識別処理において利用される,

人の身体的又は行動的な特徴及び属性を指す。 

PII主体を一意に識別する値を呈する属性は全て,区別に役立つ特徴とみなさなければならない。ある特

徴が個人を他の個人と区別するか否かは,使用状況によって変わる可能性があることに注意するのがよい。

例えば,個人の姓は,世界全体の規模で当該個人を識別するには不十分であろうが,会社内の規模で個人

を区別するには十分である場合も多い。 

さらに,個人を一意に識別することのできる単一の属性が全くないにもかかわらず,当該個人を識別可

能である状況もあり得る。複数の属性を組み合わせて,この個人を他の個人と区別する場合がそうである。

属性を組み合わせてある個人を識別することができるか否かも,具体的な領域によって異なる可能性があ

る。例えば,“女性”,“45歳”及び“弁護士”という属性を組み合わせれば,特定の会社内で個人を識別

するには十分であろうが,その会社外で当該個人を識別するには不十分である場合が多い。 

表2は,領域によってはPIIになり得る属性の例を示している。これらは参考である。 

background image

10 

X 9250:2017 (ISO/IEC 29100:2011) 

表2−個人を識別するために利用することができる属性の例 

例 

年齢又は弱者の特別なニーズ 
犯罪行為を行ったという容疑 
公共医療サービスで収集された全情報 
銀行口座又はクレジットカード番号 
バイオメトリック識別子 
クレジットカード明細書 
刑事上の有罪判決又は違反 
犯罪捜査報告書 
顧客番号 
誕生日 
健康診断情報 
身体障害 
医療費明細書 
従業員の給与及び人事ファイル 
財務概要 
性別 
GPS位置情報 
GPS軌跡 
自宅住所 
IPアドレス 
通信システムから導き出される位置 
病歴 
名前 
公的識別子(例 パスポート番号) 
個人の電子メールアドレス 
暗証番号(PIN)又はパスワード 
インターネットウェブサイトの利用を追跡して導き出した個人的な興味 
個人又は行動のプロファイル 
個人の電話番号 
個人を識別可能な写真又は映像 
製品及びサービスの選好 
人種又は民族 
宗教又は哲学的な信条 
性的指向 
労働組合への加入状況 
水道光熱費 

4.4.3 

PII主体にひも(紐)付く,又はひも(紐)付く可能性のある情報 

その情報ではPII主体が識別されない場合には,当該情報が,個人の識別要素にひも(紐)付いている

か否か又はひも(紐)付く可能性があるか否かを判断するのがよい。 

識別可能な個人との関係が確立された時には,その情報がこの個人について何か述べているか否か,例

えば,当該個人の特徴又は行動を指し示しているか否かを判断する必要がある。例としては,医療記録,

財務概要,インターネットウェブサイトの利用を追跡して導き出した個人的な興味などがある。同様に,

例えば,個人の年齢,又は個人の性別のような,個人の単純な属性に関する記載が含まれれば,ひも(紐)

付けられた情報はPIIであるとみなすことができる。いずれにしても,識別可能な個人との関係を確立す

ることができれば,当該情報もPIIとして扱わなければならない。 

11 

X 9250:2017 (ISO/IEC 29100:2011) 

4.4.4 

仮名データ 

PII管理者及びPII処理者がPII主体を識別する能力を制限するために,識別要素情報を別名と置換する

ことができる。通常,この置換は,PII提供者がPII受領者にPIIを送信する前に実施する。特に表1のシ

ナリオa),b),c),g),及びh)において行われる。 

ある業務プロセスでは,置換の実施,及び割当表又は機能の管理は,指定された処理者によって行われ

る。これは,プライバシー利害関係者が,自身で機微データを収集しないにもかかわらず,機微データを

処理する必要がある場合に,よくある。 

次に示す場合に,置換は仮名化であるとみなされる。 

a) 置換後に残っている,別名にひも(紐)付けられた属性が,それらが関連するPII主体を識別するの

に十分ではない場合 

b) 割当てを行った者以外のプライバシー利害関係者が,相応の努力を払っても復元することができない

ように,別名が割り当てられている場合 

仮名化してもひも(紐)付けの可能性は失われない。同じ仮名に結び付けられた様々なデータは,ひも

(紐)付けることができる。ある仮名に結び付けられたデータ集合が大きいほど,条件a) に違反するリ

スクが大きくなる。さらに,仮名データの集合が関連する個人のグループが小さいほど,PII主体が識別さ

れる可能性が高くなる。情報が,識別可能な個人に関連するか否かを判断する場合には,当該情報に直接

含まれる属性,及び(例えば,検索エンジンを使用して,又は,他のデータベースと相互参照して)この

情報に簡単にひも(紐)付けすることができる属性を考慮するのがよい。 

仮名化と匿名化とは異なる。匿名化プロセスも,条件a) 及びb) を満たすが,ひも(紐)付けの可能性

は破壊される。匿名化の過程で,識別要素情報は削除されるか又は別名に置換され,仮名の割当機能又は

表は破壊される。これによって,匿名化データは,PIIではなくなる。 

4.4.5 

メタデータ 

PIIは,システム利用者(すなわち,PII主体)に容易に見えないような形で,ICTシステムに保管され

ることがある。例としては,文書のプロパティにメタデータとして保管されたPII主体の名前,ワードプ

ロセッサー文書にメタデータとして保管されたコメント又は変更履歴などがある。PII主体は,そのような

目的でPIIが保存又は処理されていることを認識した場合,PIIがそのような方法で処理されないこと,又

は広く共有されないことを望む可能性がある。 

4.4.6 

意図せず取得したPII 

PII管理者又はPII処理者に求められていない(すなわち,意図せずに取得された)PIIも,ICTシステ

ムに保管される場合がある。例えば,PII管理者が依頼又は要求をしていないのに,PII主体はPII管理者

にPIIを提供する可能性がある[例 ウェブサイトの無記名コメント欄(anonymous feedback form)2)にお

いて提供される追加のPII]。意図せず取得したPIIの収集リスクは,システムの設計時にプライバシー安

全対策を考慮することによって低減することができる(これは,“プライバシー・バイ・デザイン”の概念

とも呼ばれる。)。 

注2) 例えば,問合せ者の名前などを要求しないウェブサイト上の問合せフォームなどのように,PII

主体のPIIを要求しない入力フォームを指す。無記名コメント欄であるにもかかわらずPII主体

によってPIIを登録された場合,PII管理者にとって,そのPIIは意図せず取得したPIIとなる。 

4.4.7 

機微PII 

機微性は,機微PIIが導き出され得るPIIの全てに及ぶ。例えば,処方箋はPII主体の健康に関する詳細

12 

X 9250:2017 (ISO/IEC 29100:2011) 

情報を明らかにする場合がある。PIIがPII主体の性的指向又は健康に関する直接の情報を含んでいないと

しても,そのような情報を推測するために利用することができる場合には,当該PIIは機微である可能性

がある。この規格の目的のためには,PII主体の識別要素に関してそのような推測及び知見を得ることが合

理的に可能な場合,PIIは機微PIIとして扱わなければならない。 

一部の法域では,機微PIIとは何かが法令で明示的に定義されている。例としては,PII主体の人種,民

族,宗教的又は哲学的な信条,政治的見解,労働組合への加入,性生活又は性的指向,肉体的又は精神的

な健康を明らかにする情報などがある。また,他の法域ではなりすましを容易にするか,多大な経済的被

害を個人にもたらす可能性がある情報(例 クレジットカード番号,銀行口座情報,又はパスポート番号,

社会保障番号若しくは運転免許証番号のように政府が発行した識別子),PII主体の現在地を判別するため

に利用することができる情報などが,機微PIIに含まれる場合もある。 

機微PIIの処理には,特別な予防策を必要とする。一部の法域では,PII主体のオプトインによる同意が

ある場合でも,機微PIIの処理が適用される法令によって禁止されている場合がある。また,一部の法域

では,ある種類の機微PIIを処理するに当たっては,特定の管理策の実施が要求される場合がある(例 医

療関連のPIIを公衆ネットワークを通して送信する場合の暗号化要件)。 

4.5 

プライバシー安全対策要件 

組織には,PIIを保護する様々な動機がある。PII主体のプライバシーを保護するため,法的及び規制の

要求事項を満たすため,企業責任を果たすため,消費者の信頼を高めるためなどが,その理由の例である。

4.5の目的は,PIIの処理を行う特定の組織又はプライバシー利害関係者に関連のあるプライバシー安全対

策要件に影響を及ぼす,様々な要因の概要を示すことである。 

プライバシー安全対策要件は,PIIの処理の様々な異なる側面に関連する場合がある。例えば,PIIの収

集,保持,PIIの第三者への提供,PII管理者とPII処理者との間の契約関係,PIIの国外への移転などであ

る。プライバシー安全対策要件の具体性も異なる場合がある。プライバシー安全対策要件は,非常に概括

的なものである場合もある。例えば,組織がPIIの処理において考慮することが期待されている,概念的

なプライバシー原則の一覧から構成されることもある。一方で,プライバシー安全対策要件が,ある種類

のPIIの処理に関して非常に具体的な制限を含む場合,又は,具体的なプライバシー管理策の実施を義務

付ける場合もある。 

PII処理に関与するいかなるICTシステムを設計する場合にも,事前に関連するプライバシー安全対策

要件を特定するのがよい。PII処理に関与するICTシステムを,新しくする,又は大幅に変更する場合は,

それらのICTシステムを実装する前にプライバシーへの影響に対処するのがよい。組織は,幅広いリスク

マネジメント活動を日常的に実施し,かつ,当該ICTシステムと関連したリスク分析結果を作成する。 

リスクマネジメントとは,“リスクについて,組織を指揮統制するための調整された活動”であると定義

されている(JIS Q 0073 [1])。プライバシーリスクマネジメントプロセスには,次に示すプロセスが含ま

れる。 

− 組織を把握すること(例 PIIの処理,責任),技術的な環境を把握すること,及びプライバシーリス

クマネジメントに影響を及ぼす要因(すなわち,法令及び規制要因,契約要因,ビジネス要因,並び

に他の要因)を把握することによる,組織の状況の確定。 

− PII主体へのリスク(PII主体に悪影響を及ぼす可能性があるリスク)を特定,分析,及び評価するこ

とによる,リスクアセスメント。 

− PII主体へのリスクを回避又は低減するために,プライバシー安全対策要件を定義し,プライバシー管

理策を特定及び実施することによる,リスク対応。 

background image

13 

X 9250:2017 (ISO/IEC 29100:2011) 

− 関係者から情報を取得し,各リスクマネジメントプロセスについて合意を得て,リスク及び管理策に

ついてPII主体へ知らせ,かつ,共有することによる,コミュニケーション及び協議。 

− リスク及び管理策を追跡し,かつ,プロセスを改善することによる,モニタリング及びレビュー。 

成果の一つにプライバシー影響評価がある。これは,リスクマネジメントの構成要素であって,プライ

バシー及びデータ保護に関する法令の要件遵守を確実にし,かつ,新しい又は大幅に変更されたプログラ

ム又は活動の,プライバシーへの影響を評価することを重点的に取り扱う。プライバシー影響評価は,組

織のより幅広いリスクマネジメントのフレームワーク内に組み入れるのがよい。 

図1−プライバシーリスクマネジメントに影響を及ぼす要因 

(図1に示し,次で説明するように)プライバシー安全対策要件は,次に示す要因に影響を受けるプラ

イバシーリスクマネジメントプロセスを構成する全体要件の一部3)であるとみなされる。 

− 個人のプライバシー安全対策及びPII保護のための,法令及び規制要因 

− 複数の登場者(actor)間の契約,企業方針,拘束的企業準則4)などの契約要因 

− 特定の業務への適用によって,又は具体的事例の状況によって決められるビジネス要因 

− ICTシステムの設計及び関連するプライバシー安全対策要件に影響を与える他の要因 

注3) 対応国際規格では,プライバシー安全対策要件は,“プロセス全体の一部”とされているが,

“プロセスを構成する全体要件の一部”の誤用と考えられる。 

4) 対応国際規格では,“業界ガイドライン,専門的な標準,企業方針”とされているが,“業界

ガイドライン,専門的な標準”は誤用と考えられる。この規格では“複数の登場者(actor)

間の契約,企業方針,拘束的企業準則”とした。 

4.5.1 

法令及び規制要因 

プライバシー安全対策要件は,a) 国際,国内,及び地域の法令,b) 規制,c) 司法判断,又はd) 労使

協議会若しくは他の労働者団体と取り決められた協定に反映されていることが多い。地域及び国の法令の

例としては,データ保護に関する法令,消費者保護に関する法令,侵害通知に関する法令,データ保持に

関する法令,雇用に関する法令などがある。関連する国際法には,PIIの法域を越えた移転に影響を与える

ルールなどがある。PII管理者は,法令又は規制要因から生じる,関連するプライバシー安全対策要件の全

てを認識しているのがよい。この目標を達成するために,PII管理者は,法律の専門家と綿密に調整するこ

とができる。多くの法域では,確実な法令遵守の最終的な責任を負うのはPII管理者になるが,PII処理に

例 

法令及び規制要因 

契約要因 

ビジネス要因 

他の要因 















ト 

際,国内,及

び地域の法令 

₉轒

判断 

使協議会又は

他の労働者団体
との協定 

₉ 数の登場者

(actor)間の契
約 

ũ浥 針及び拘

束的企業準則 

定される活用

法,又は利用の
背景・状況の,
具体的特性 
 

イドライ

ン,行動規範,
ベストプラクテ
ィス,又は標準 

倀

イバシー選好 

⁑薐 統制制度 

準 

14 

X 9250:2017 (ISO/IEC 29100:2011) 

関与する登場者(actor)全てが,法令又は他の要因から生じる,関連するプライバシー安全対策要件の特

定に積極的に取り組むのがよい。 

4.5.2 

契約要因 

契約上の義務もプライバシー安全対策要件に影響を及ぼす場合がある。これらの義務は,PII処理者,

PII管理者及び第三者のように複数の登場者(actor)間の契約から生じる場合がある。例えば,プライバシ

ー利害関係者は,PIIを第三者に提供する前に,第三者に特定のプライバシー管理策を使用し,かつ,特定

のPII廃棄要件に同意するように要求する場合がある。例えばプライバシー侵害の事象において悪評から

ブランドを保護するために,プライバシー利害関係者が自身で作成した企業方針及び拘束的企業準則に,

プライバシー安全対策要件は由来する場合もある。 

通常,PIIにアクセスする者には,各PII管理者が,例えば,第三者5)との契約を結ぶといった,正式な

方法でその義務を認識させるのがよい。このような契約には,第三者(PII受領者)が考慮しなければなら

ない複数のプライバシー安全対策要件が含まれることが多い。一部の法域では,国及び地方の機関が第三

者へのPIIの提供を可能にする法令及び契約上の文書を確立している場合がある。 

注5) ここでいう“第三者(third party)”は,“PIIにアクセスする者”を指す。 

4.5.3 

ビジネス要因 

プライバシー安全対策要件は,ビジネス要因にも影響を受ける。ビジネス要因には,想定される活用法,

又は利用の背景・状況の具体的特性が含まれる。ビジネス要因は,プライバシー利害関係者の種類及び事

業の種類によって大きく異なる場合がある。例えば,ビジネス要因は,その組織が活動している分野に関

連するもの(例 業界ガイドライン,行動規範,ベストプラクティス,標準),ビジネスモデルの性質(例 

週7日24時間のオンラインサービス,情報共有サービス,銀行業務アプリケーション)に関連するものな

どがある。 

多くのビジネス要因は,プライバシー安全対策要件それ自体に直接影響を及ぼすことはない。想定され

るPIIの利用は,組織のプライバシーポリシーの実装及びプライバシー管理策の選択に影響を与える場合

が多いが,組織が賛同するプライバシー原則には影響を与えないことが望ましい6)。例えば,あるサービ

スを提供する場合には,サービス提供者は,追加のPIIを収集すること,又は,ある種類のPIIにアクセス

することができる従業員を増やすことを必要とするかもしれない。ただし,これによって,このフレーム

ワークに含まれる原則に賛同しているPII管理者が,サービスの提供にどの種類のPIIが厳密に必要である

かを慎重に評価する(収集制限の原則)必要がなくなるわけではない。また,当該PIIへのアクセスを,

その職責を果たすためにアクセスが必要な従業員に限定する(データ最小化の原則7))必要がなくなるわ

けでもない。 

注6) 対応国際規格では“組織が賛同するプライバシー原則には影響を与えないことが望ましい(this 

should not affect the privacy principles to which the organization subscribes)”とされているが,“想定

されるPIIの利用によって,組織は,採用するプライバシー原則を変更しないほうがよい”の

意味と考えられる。 

7) 対応国際規格では“情報セキュリティの原則(principle of information security)”とされているが,

“データ最小化の原則(principle of data minimization)”の誤用と考えられる。 

4.5.4 

他の要因 

プライバシー安全対策要件を特定する場合に組織が考慮するのがよい最も重要な要因は,PII主体のプラ

イバシー選好に関連するものである。個人のプライバシーに対する意向,及び個人がどのようなリスクを

考慮するかは,複数の要因に依存する。当該要因には,使用される技術についての個人の理解度,当該個

15 

X 9250:2017 (ISO/IEC 29100:2011) 

人の経歴,提供される情報,トランザクション8)の目的,当該個人の過去の経験,及び社会心理学的要因

がある。 

注8) “トランザクション”とは,一連の“インタラクション”の集合を指す。 

ICTシステム設計者は,PII主体がプライバシーに対して懸念しそうな点を理解しようと努め,かつ,当

該システムを通して処理されるPIIの種類を理解するのがよい。システム開発者,アプリケーション提供

者又はサービス提供者が,顧客ターゲットグループの利用予測,並びに,要望及びニーズに関して研究す

るのと同じように,プライバシーに関しても,関連する個人の期待及び選好を理解しようと努めることは

重要である。ICTシステム設計者がPII主体のプライバシー選好に一致する選択肢をPII主体へ常に提供す

ることができるとは限らないが,それを設計面で配慮することは重要である。 

プライバシー選好の例としては,匿名性若しくは仮名性に対する選好,特定のPIIにアクセスできる者

を制限できること,又はPIIの処理の目的を制眼できること,がある。可能な範囲において,例えば,マ

ーケティングのような二次的な目的にPIIを使用してよいかといった,自身のデータ処理に対する選好に

ついての選択の機会をPII主体に与えるのがよい。プライバシーに配慮した選好を表明する機能は,ICT

システムのグラフィカルユーザーインターフェースを使用して実装することができる。分かりやすい表現

で記載された,一般的なプライバシー選好に対応するあらかじめ定義された一連の選択肢を示すことによ

って,PII主体の選択を支援することができる。ユーザーインターフェースの実装には,チェックボックス

又はドロップダウンメニューのような要素を使用することができる。 

4.5.1〜4.5.3に示した要因に加えて,ICTシステムの設計及び関連するプライバシー安全対策要件に影響

を及ぼす可能性がある他の要因がある。例えば,プライバシー安全対策要件は,組織が採用した内部統制

制度又は技術標準(例 ISO規格のような,任意規格)によって影響を受ける。 

4.6 

プライバシーポリシー 

PII処理に関与する組織の経営陣は,プライバシーポリシーを確立するのがよい。プライバシーポリシー

は次であるのがよい。 

− 組織の目的に適合する。 

− 目標を設定するためのフレームワークを提供する。 

− 適用されるプライバシー安全対策要件を満たすコミットメントを含む。 

− 継続的な改善に向けたコミットメントを含む。 

− 組織内に共有される。 

− 必要に応じて関係者などが参照することができる。 

組織は,書面でそのプライバシーポリシーを文書化するのがよい。PIIを処理する組織がPII処理者であ

る場合には,これらのポリシーの大部分はPII管理者によって決定される。プライバシーポリシーは,PII

処理に関与するプライバシー利害関係者ごとの詳細な規則,及び契約上の義務(例 特定の部署又は従業

員のための手順)によって補完するのがよい。さらに,特定の状況(例 アクセスの制御,通知規定,監

査など)でプライバシーポリシーを施行するのに使用される管理策を明確に文書化するのがよい。 

多くの場合には,“プライバシーポリシー”という用語は,内部プライバシーポリシー及び外部プライバ

シーポリシーの両方を指し示すために使用される。内部プライバシーポリシーでは,組織のPII処理に関

連するプライバシー安全対策要件を満たすために,組織が採用した目標,規則,義務,制限,及び/又は

管理策を文書化する。外部プライバシーポリシーによって,組織のプライバシー慣行,並びに,PII管理者

の識別要素9)及び公式な住所,PII主体が追加の情報を取得することができる連絡先などの他の関連する情

16 

X 9250:2017 (ISO/IEC 29100:2011) 

報を,組織に属さない者へ公表又は通知する。このフレームワークにおいては,“プライバシーポリシー”

という用語は,組織の内部プライバシーポリシーを指し示すために使用される。外部向けのプライバシー

ポリシーを外部プライバシーポリシーと呼ぶ。 

注9) “PII管理者の識別要素”とは,PII管理者の氏名,職名などを指す。 

4.7 

プライバシー管理策 

プライバシーリスクアセスメント及びプライバシーリスク対応プロセスによって特定されたプライバシ

ー安全対策要件を満たすために,組織はプライバシー管理策を特定及び実施するのがよい。さらに,特定

及び実施されているプライバシー管理策は,組織のプライバシーリスクアセスメントの一部として文書化

するのがよい。ある種類のPIIの処理では,想定される操作が慎重に分析された後になって初めて必要な

具体的管理策が分かる。プライバシーリスクアセスメントは,想定される操作に含まれるプライバシー侵

害の具体的なリスクを組織が特定することを支援することができる。 

組織は,全般的な“プライバシー・バイ・デザイン”アプローチの一部として,プライバシー管理策を

策定するように努めるのがよい。すなわち,プライバシーコンプライアンスは,PIIを処理するシステムの

設計段階で考慮に入れるのがよく,後続の段階で追加するものではない。 

情報セキュリティ管理策については,全てのPIIの処理が同じレベル又は種類の保護を必要とするとは

限らないことに注意することが重要である。どの情報セキュリティ管理策がどの場合に適切かを判断する

のに役立てるために,組織は,PIIの処理操作をそれがもたらす具体的なリスクに従って区別するのがよい。

リスクマネジメントは,このプロセスにおいて中心となる方法である。また,プライバシー管理策の特定

についても,組織の情報セキュリティマネジメントフレームワークに不可欠な部分とするのがよい。 

この規格におけるプライバシー原則 

5.1 

プライバシー原則の概要 

この規格で示すプライバシー原則は,複数の州,国及び国際機関によって策定された既存の原則に由来

している。このフレームワークは,ICTシステムにおけるプライバシー原則の実装,及び組織のICTシス

テム内で実装されるプライバシーマネジメントシステムの開発を重点的に取り扱う。これらのプライバシ

ー原則は,プライバシーポリシー及びプライバシー管理策の設計,開発,及び実装の指針として使用する

のがよい。さらに,それらはパフォーマンスの監視及び測定,ベンチマーク測定,並びに,組織のプライ

バシーマネジメントプログラムの観点の監査において,基準として使用することができる。 

幾つかの状況では,これらの原則の適用が制限され得るような社会的,文化的,法的,及び経済的な要

因における差異もあろうが,この規格に定義された全ての原則の適用が推奨される。これらの原則に対す

る例外は,限定的であるのがよい。 

次に示すプライバシー原則がこの規格の基礎となっている。 

background image

17 

X 9250:2017 (ISO/IEC 29100:2011) 

表3−この規格におけるプライバシー原則 

1. 同意及び選択(Consent and choice) 
2. 目的の正当性及び明確化(Purpose legitimacy and specification) 
3. 収集制限(Collection limitation) 
4. データの最小化(Data minimization) 
5. 利用,保持,及び開示の制限(Use, retention and disclosure limitation) 
6. 正確性及び品質(Accuracy and quality) 
7. 公開性,透明性,及び通知(Openness, transparency and notice) 
8. 個人参加及びアクセス(Individual participation and access) 
9. 責任(Accountability) 
10. 情報セキュリティ(Information security) 
11. プライバシーコンプライアンス(Privacy compliance) 

5.2 

同意及び選択(Consent and choice) 

同意の原則を遵守するとは,次に示すことを意味する。 

− 自分のPIIの処理を許可するか否かの選択の機会を,PII主体に示す。ただし,PII主体が自由に同意

を保留できない場合,又は,適用される法令が個人の同意なしにPII処理を行うことを明確に認める

場合を除く。PII主体の選択の機会は,制限なく,具体的に,及び,知見を基にして与えられる必要が

ある。 

− 機微PIIを収集又は他の方法で処理することについて,PII主体のオプトインの同意を得る。ただし,

適用される法令が個人の同意なしに機微PIIを処理することを認める場合を除く。 

− 個人参加の原則及びアクセスの原則の下における権利について,同意を得る前にPII主体に知らせる。 

− 公開性,透明性,及び通知の原則によって示される情報を,同意を得る前にPII主体に提供する。 

− 同意を与えるか又は同意を保留するかによる影響について,PII主体に説明する。 

自分のPIIがどのように扱われるかを選択し,及び,PII主体が容易かつ無償で同意を撤回することがで

きる機会をPII主体に提供するように,規定を作成するのがよい。この要請は,プライバシーポリシーに

従って取り扱われるのがよい。同意が撤回された場合でも,PII管理者は,法的,又は契約上の義務[例 デ

ータ保持,責任(accountability)10)]を履行するために,一定の期間あるPIIを保持しなければならない場

合がある。PIIの処理が同意に基づいてではなく,別の適法な根拠に基づいて行われる場合には,可能な限

りPII主体に通知するのがよい。PII主体が同意を撤回することが可能であって,実際に撤回することに決

めた場合には,法令で義務付けられている目的に関する処理を除き当該PIIをPIIの処理から除外するのが

よい。 

PII管理者にとって,選択の原則を遵守するとは,次に示すことを意味する。 

− 収集時,最初の使用時,又はその後できる限り早く,PII主体に自分のPIIの処理に関する選択の実施

及び同意を与えることについて明確で,目立ち,理解しやすく,利用しやすく,かつ,手軽な仕組み

をPII主体に提供する。 

− PII主体が同意を通じて表明した選好を満たす。 

注10) 対応国際規格では,“責任(responsibility)”と異なる意味で使用している。この規格において,

“責任(accountability)”とは,“最終的な”又は“包括的な”,“責任”のある状態を指す。 

さらに,同意以外の根拠(例 契約の履行,PII主体の重大利益又は法令の遵守)でPIIを処理するため

に,追加の規定を定義することができる。適用される法令によっては,PII主体の同意はPIIを処理するの

18 

X 9250:2017 (ISO/IEC 29100:2011) 

に十分な法的根拠にならないとされる場合もある(例 親又は保護者の承認なしに行われた未成年者の同

意)。さらに,PIIを国際間で移転する場合の追加の要求事項も考慮しなければならない。データを処理又

は移転する前にこれらの追加の規定を遵守するのは,PII管理者の責任である。 

5.3 

目的の正当性及び明確化(Purpose legitimacy and specification) 

目的の正当性及び明確化の原則を遵守するとは,次に示すことを意味する。 

− 目的が適用される法令を遵守していること,及び,適法な根拠に依拠していることを確実にする。 

− 新しい目的のために初めて情報が収集される前に,又は情報が使用される前に,PII主体にその目的を

共有する。 

− 目的を明確化するために,明確,かつ,状況に適応した適切な表現を使用する。 

− 該当する場合には,機微PIIを処理する必要性を十分に説明する。 

機微PIIについては,厳格な規則が処理の目的に適用される場合がある。目的は,法的根拠,又はデー

タ保護機関若しくは政府当局による特定の承認を必要とする場合がある。PIIの処理の目的が適用される法

令に適合しない場合は,処理は行わないほうがよい。 

5.4 

収集制限(Collection limitation) 

収集制限の原則を遵守するとは,次に示すことを意味する。 

− 適用される法令の範囲内,及び,特定された目的のために最低限必要であるものに,PIIの収集を制限

する。 

組織は,PIIをみだりに収集しないほうがよい。収集するPIIの量及び種類の両方を,PII管理者が特定

する(正当な)目的を達成するのに必要なものに制限するのがよい。組織は,PIIの収集を始める前に,特

定の目的を実現するためにどのPIIが必要かを慎重に考慮するのがよい。組織は,情報取扱いのポリシー

及び実践の一部として,収集するPIIの種類,及び,それを収集する正当な理由を文書化するのがよい。 

PII管理者は,PII主体によって要求された特定のサービス提供以外の目的のために(例 ダイレクトマ

ーケティングのため),追加のPIIを収集したいと考える場合がある。法域によっては,そのような追加の

情報の収集はPII主体の同意がある場合にだけ可能である。また,適用される法令によって,ある情報の

収集が義務付けられている可能性もある。可能な限り,PII主体がそのような情報を提供するか否か選択で

きることとするのがよい。さらに,PII主体に,このような追加の情報の要求に応じる回答は任意であると

いう旨を明確に知らせるのがよい。 

5.5 

データの最小化(Data minimization) 

データの最小化は“収集制限”の原則に密接に関連するが,それよりも更に踏み込んだものである。“収

集制限”とは,特定された目的に関して収集するデータを制限することを指し示すが,“データの最小化”

は,PII処理を厳密に最小化する。 

データの最小化の原則を遵守するとは,次に示すような方法で,データ処理手順及びICTシステムを設

計及び実装することを意味する。 

− 処理されるPIIを最小限にするとともに,プライバシー利害関係者及びPIIが開示されるか又はPIIに

アクセスする者の数を最低限に抑える。 

− “知る必要性(need to know)”の原則を確実に採用する。すなわち,PIIの処理の正当な目的のフレー

ムワークの中で,その者の職務の遂行に必要なPIIだけにアクセス権が与えられるのがよい。 

− 可能な限り,PII主体の識別を伴わずに,PII主体の行動の可観測性を低減し,かつ,収集したPIIの

19 

X 9250:2017 (ISO/IEC 29100:2011) 

ひも(紐)付けの可能性を制限する,インタラクション及びトランザクションを既定の選択肢として

使用又は提供する。 

− PIIの処理の目的が終了している場合で,PIIを保存するという法的要求事項がなく,そうすることが

現実的な場合にはPIIを必ず削除及び廃棄する。 

5.6 

利用,保持及び開示の制限(Use, retention and disclosure limitation) 

利用,保持及び開示の制限の原則を遵守するとは,次に示すことを意味する。 

− PIIの利用,保持及び開示(提供を含む。)は,具体的,明示的かつ正当な目的を達成するために必要

な範囲に限定する。 

− 適用される法令によって,異なる目的が明示的に要求されていない限り,PII管理者が収集の前に特定

した目的にPIIの利用を限定する。 

− 定められた目的を達成するのに必要な期間だけPIIを保持し,かつ,必要な期間を経過した後はPII

を確実に破棄又は匿名化する。 

− 定められた目的が無効になったが,適用される法令が保持を要求している場合は,全てのPIIをロッ

クする(すなわち,PIIをアーカイブに保管し,安全を確保し,かつ,それ以上処理されないようにす

る。)。 

PIIが国際間で移転される場合には,PII管理者は,法域を越えた移転に特有の国又は地域における追加

の要求事項を認識しているのが望ましい。 

5.7 

正確性及び品質(Accuracy and quality) 

正確性及び品質の原則を遵守するとは,次に示すことを意味する。 

− 処理されたPIIが,利用の目的に照らして,正確,完全,最新(古いデータを保存する正当な根拠が

ある場合を除く。),十分かつ適切であることを確実にする。 

− PII主体以外の情報源から収集したPIIの信頼性を,PIIが処理される前に確保する。 

− 確認することが適切である場合には,(変更が適切な権限の下に行われることを確実にするために,)

PIIに変更を加える前に適切な手段を通じて,PII主体によってなされた主張の有効性及び正確性を確

認する。 

− 正確性及び品質を確保するのに役立つPII収集手順を確立する。 

− 収集及び保管しているPIIの正確性及び品質を定期的に点検するための管理の仕組みを確立する。 

データを使用することによって,個人に大きな利益が与えられる,若しくは与えられない場合,又は,

データが不正確であるために,個人に重大な損害が発生する可能性がある場合には,この原則は,特に重

要である。 

5.8 

公開性,透明性及び通知(Openness, transparency and notice) 

公開性,透明性及び通知の原則を遵守するとは,次に示すことを意味する。 

− PII処理に関する,PII管理者のポリシー,手順及び実践について,明確でかつ入手が容易な情報をPII

主体に提供する。 

− PIIが処理されるという旨,処理の目的,PIIが開示される可能性があるプライバシー利害関係者の種

類,及びPII管理者への連絡先に関する情報を含むPII管理者の識別要素を通知に含める。 

− PII主体が自分の情報の処理を制限するため,並びに,当該情報にアクセス,修正,及び削除すること

ができるようにするため,PII管理者がPII主体に対して提供する選択肢及び手段を開示する。 

20 

X 9250:2017 (ISO/IEC 29100:2011) 

− PII取扱い手順に大きな変更があった場合には,PII主体に通知する。 

PIIの処理の基礎となるロジックに関する一般的な情報を含む透明性は,特に,PII主体に影響を与える

決定がPIIの処理に含まれる場合に必要とされることがある。PIIを処理するプライバシー利害関係者は,

PIIのマネジメントに関連したポリシー及び実践についての具体的な情報を一般の人々が容易に入手でき

るようにするのがよい。PIIの処理に影響を与える全ての契約上の義務は,適切に文書化し,かつ,内部で

共有するのがよい。また,これらの義務が機密ではない範囲において,これらの義務を外部とも共有する

のがよい。 

さらに,PIIの処理の目的については,PII主体が次の事項を理解することができるように十分に詳細を

記載するのがよい。 

− 特定された目的に必要な特定されたPII 

− PII収集の特定された目的 

− 特定された処理(収集,通知及び保管の仕組みを含む。) 

− PIIにアクセスしたり,PIIの提供先となったりし得る,権限をもった個人の種類 

− PIIデータの特定された保持及び廃棄要件 

5.9 

個人参加及びアクセス(Individual participation and access) 

個人参加及びアクセスの原則を遵守するとは,次に示すことを意味する。 

− PII主体の識別要素が適切な保証レベルであらかじめ認証されており,適用される法令によってそのよ

うなアクセスが禁止されていない場合には,PII主体が自分のPIIにアクセス及び確認することができ

るようにする。 

− PII主体がその特定の状況で適切及び可能であれば,PIIの正確性及び完全性に異議申立てができ,PII

を修正,訂正又は削除することができるようにする。 

− PII 11)が開示されたPII処理者及び第三者が分かっている場合には,当該PII処理者及び第三者に任意

の修正,訂正又は削除を連絡する。 

注11) 対応国際規格では“personal data(個人のデータ)”とされているが,PIIの誤用と考えられる。 

− 過度な遅延,又はコストを伴わず,単純,迅速かつ効率的な方法でPII主体がこれらの権利を行使す

ることができる手順を確立する。 

PII管理者は,PII主体が他のPII主体のPIIではなく,自身のPIIだけにアクセスできることを厳密にす

るのがよい。ただし,アクセスする権利を行使できないPII主体に代わって権限の下で行われる個人のア

クセスは除く。適用される法令は,ある状況下において,アクセス,確認,及びPII処理に異議を唱える

権利を個人に与えることがある。個人が満足するように異議申立てが対処されない場合には,その対処さ

れていない異議申立ての内容を組織は記録するのがよい。適切な場合には,対処されていない異議申立て

が存在することを,当該情報にアクセスすることができるPII処理者及び他の第三者に伝えるのがよい。 

5.10 責任(Accountability) 

PII処理は,PIIを保護するために,注意義務及び具体的かつ実用的な対策を採用することを必要とする。

責任(accountability)の原則を遵守するとは,次に示すことを意味する。 

− 全てのプライバシー関連のポリシー,手順及び実践を適切に文書化し,かつ,共有する。 

− 組織内の特定の者に,プライバシー関連のポリシー,手順及び実践を実施するタスクを割り当てる(適

切である場合には,担当範囲に応じて,当該個人から,組織の他の者に委ねる場合もある。)。 

21 

X 9250:2017 (ISO/IEC 29100:2011) 

− 第三者にPIIを提供する場合には,当該第三者である受領者が契約上の,又は強制的な内部ポリシー

といった,他の手段を通して,同水準のプライバシー保護を行うことを義務付けることを確実にする

(適用される法令に,国外とのデータ移転に関する追加の要求事項が含まれる場合がある。)。 

− PIIにアクセスすることができるPII管理者の要員に適切な訓練を実施する。 

− PII主体が使用するための,効率的な内部苦情処理及び救済手順を構築する。 

− [禁止されている場合(例 法執行機関に協力している間)を除いて]PII主体に大きな損害を与える

可能性があるプライバシー侵害及び解消のために実施された対策について,PII主体に知らせる。 

− 一部の法域での必要性とリスクのレベルとに応じて,プライバシー侵害について関連するプライバシ

ー利害関係者(例 データ保護機関)の全てに通知する。 

− プライバシー侵害が発生した場合には,侵害されたPII主体が,例えば,訂正,削除又は返却といっ

た,適切かつ有効な制裁措置及び/又は是正措置を利用することができるようにする。 

− 個人のプライバシー状況を原状回復することが困難又は不可能な場合の補償の手順を考慮する。 

プライバシー侵害を回復する対策は,侵害に関連するリスクに釣り合ったものであるのがよいが(例え

ば,法令で定められた調査を妨害するといった,他の点で禁止されている場合を除いて),できるだけ速や

かに実施するのがよい。 

救済手順の確立は,責任(accountability)の確立の,重要な一部分をなす。救済は,PII主体がPIIの不

正使用に対する責任をPII管理者に負わせる手段になる。損害賠償は,権利を侵害されたPII主体に補償を

提供する救済の一形式である。救済手順の確立は,なりすまし,風評被害,又はPIIの不正使用だけでな

く,各PIIの修正又は変更に間違いがあった場合にも重要である。 

救済プロセスが備えられている場合には,PII主体はより自信をもってそのトランザクションを開始でき

る場合もあるだろう。これは,救済プロセスがあることによって,結果について個人が認識するリスクが

事実上低減されるためである。一部のサービスの救済措置(例 経済的損失に関する救済措置)は,損失

の定量化及び補償がより困難なその他の救済措置(例 識別要素の盗難に関する救済措置,個人のイメー

ジ又は評判の毀損に関する救済措置)よりも,実現が容易である。救済は,透明性及び誠実に基づく場合

に最も有効である。必要な救済対策の種類は法令で定められている場合がある。 

5.11 情報セキュリティ(Information security) 

情報セキュリティの原則を遵守するとは,次に示すことを意味する。 

− PIIの完全性,機密性及び可用性を確保し,並びに,PIIのライフサイクル全体にわたって,権限外の

アクセス,破棄,使用,変更,開示又は損失といったリスクからPIIを保護するために,運用,機能,

及び戦略レベルで適切な管理策を適用して,自らの管理下にあるPIIを保護する。 

− PII処理の組織的,物理的及び技術的な管理策について十分な保証を提供するPII処理者を選択して,

これらの管理策が遵守されることを確実にする。 

− これらの管理策を,適用される法的要求事項,セキュリティ規格,JIS Q 31000 [2]で示されているよ

うな体系的なセキュリティリスクアセスメントの結果,及び費用便益分析の結果に基づいたものにす

る。 

− 起こり得る結果の起こりやすさ及び重大さ,PIIの機微性,影響を受ける可能性のあるPII主体の数,

並びにPIIが保持される状況に見合った管理策を実施する。 

− PIIへのアクセスを,職責を遂行するためにアクセスすることが要求される者に限定し,また,その者

がアクセスすることができるPIIを,その職責を遂行するためにアクセスすることが要求されるPII

22 

X 9250:2017 (ISO/IEC 29100:2011) 

に限定する。 

− プライバシーリスクアセスメント及び監査プロセスを通じて発見されたリスク及びぜい弱性に対処す

る。 

− 定期的に管理策の見直しを行い,進行中のセキュリティリスクマネジメントプロセスの再評価を行う。 

5.12 プライバシーコンプライアンス(Privacy compliance) 

プライバシーコンプライアンスの原則を遵守するとは,次に示すことを意味する。 

− 内部の監査人又は信頼できる第三者機関の監査人による,定期的な監査を行うことによって,処理が

データ保護及びプライバシー安全対策要件を満たすことを検証及び実証する。 

− 関連するプライバシーに関する法令,並びに,セキュリティ,データ保護及びプライバシーに関する

ポリシー及び手順の遵守を確実なものにする,適切な内部管理策及び独立した監督する仕組みを備え

る。 

− PIIの処理に関するプログラム及びサービス提供の取組みがデータ保護及びプライバシー保護要件に

適合するか否かを評価するために,プライバシーリスクアセスメントを発展させ,維持する。 

幾つかの監督機関が適用されるデータ保護に関する法令の遵守状況を監視する責任を負うことが,適用

される法令で規定されている場合がある。その場合,プライバシーコンプライアンスの原則を遵守すると

は,これらの監督機関と協力し,かつ,監督機関のガイドライン及び要求に従うことも意味する。 

background image

23 

X 9250:2017 (ISO/IEC 29100:2011) 

附属書A 

(参考) 

この規格の概念とJIS Q 27000の概念との対応表 

具体的なプライバシーの文脈でJIS Q 27000シリーズの使用が容易になるように,また,JIS Q 27000の

文脈にプライバシーの概念を組み込みやすいように,それらの主な概念の間の対応表を,次の表A.1に示

す。 

表A.1−この規格の概念とJIS Q 27000の概念との対応表 

この規格の概念 

JIS Q 27000の概念 

プライバシー利害関係者 

ステークホルダ 

個人識別可能情報(PII) 

情報資産 

プライバシー侵害 

情報セキュリティインシデント 

プライバシー管理策 

管理策 

プライバシーリスク 

リスク 

プライバシーリスクマネジメント 

リスクマネジメント 

プライバシー安全対策要件 

管理目的 

24 

X 9250:2017 (ISO/IEC 29100:2011) 

参考文献 

[1] JIS Q 0073,リスクマネジメント−用語 

[2] JIS Q 31000,リスクマネジメント−原則及び指針 

[3] ISO/IEC JTC 1/SC 27 WG 5 Standing Document 2 (WG 5 SD2)−Official Privacy Documents References,

http://www.jtc1sc27.din.deから入手可能