国際標準ISO22307
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2020/09/24 14:24 UTC 版)
「プライバシー影響評価」の記事における「国際標準ISO22307」の解説
ISO22307は、国際標準化機構ISOが発行したプライバシー影響評価に関する国際規格である。サブタイトルは「Financial services -- Privacy impact assessment」であり、金融サービスを行う企業が顧客や取引先などの財務データの処理に係るプライバシー事項の特定およびリスクに対処する為の方法論が定義されている。しかし、後述のとおり、本標準の内容は金融関連サービスに特化したものではなく、民間部門および公的部門を問わずさまざまな分野に適用可能なものとなっている。また、要求仕様は各国の法体系や社会制度に依存しない、最大公約数的な内容である。例えば、実施体制は国によって多様であるが、本国際規格では具体的な内容には言及せず、代わりに「公共的で独立した見地」という記述にとどめている。 ISO22307は、システム開発の初期段階で実施すべきPIAについて記述されており、PIAプロセスの要求事項として、以下の6つが提示されている。 PIA計画 評価 PIA報告 PIA実施に必要な専門技能を持つ人の関与 公共的で独立した見地の関与 PIA結果を意思決定に用いることについての合意 具体的なPIAプロセスの要求事項の中では、PIA計画のスコープや報告文書の作成の為の指針に加え、関連する法令、規則、標準やプライバシーポリシー等への適合、個人情報に関する既知のリスク等にも触れられており、プライバシーに資する最適な選択肢や解決手法が提供されている。なお、効果的に活用すれば、プライバシーに関するリスクの特定やその軽減のためのツールにもなり得るものとなっている。 そのほか、ISO22307の特徴は以下の3点である。 一般的なPIAプロセスを記述。 金融機関に関連したビジネスシステムにとらわれず、PIAの一般的要件を定義。 ユーザニーズの評価や効果的なPIA実施を促すためのいくつかの質問票とともに、PIAおよびその履行に関するFAQ(Frequently Asked Questions)を含む効果的なガイダンスを提供。
※この「国際標準ISO22307」の解説は、「プライバシー影響評価」の解説の一部です。
「国際標準ISO22307」を含む「プライバシー影響評価」の記事については、「プライバシー影響評価」の概要を参照ください。
- 国際標準ISO22307のページへのリンク