特集
» 2019年10月15日 08時00分 公開

NISTプライバシーフレームワーク(PRF)とは? サイバーセキュリティフレームワークとの違い、注目される理由を知る

もしも、買収先企業が知らぬうちにプライバシー情報を漏洩していたら? 数百億の制裁金も冗談ではない危険な世界を安全に航海するための指針は、どんなものか。

[土肥正弘,ドキュメント工房]

 今後のプライバシー保護の望ましい姿を示す「NISTプライバシーフレームワーク」が年内にも発効する。NIST(アメリカ国立標準技術研究所)は米国の組織ではあるが世界に大きな影響力をもつ技術標準機関でもある。各国の企業が採用する「NISTサイバーセキュリティフレームワーク」がよく知られている。

 今回取り上げる「NISTプライバシーフレームワーク」はこのサイバーセキュリティフレームワークのプライバシー保護向けの姉妹版と位置付けられる。

NISTプライバシーフレームワーク(PRF)とは何か

 2014年2月に公開した「NISTサイバーセキュリティフレームワーク」(以下CSF)は、世界の国や企業の重要インフラ向けのセキュリティデファクトスタンダードとして活用が進んでいる。ISMS、CIS Controls、PCI DSSといった各種セキュリティフレームワークがある中で業種や企業規模にかかわらず、サイバーセキュリティ対策の評価基準や対策指針を示すものとして重要視されているところだ。

 NISTプライバシーフレームワーク(以下PRF)はCSFの姉妹版として策定中の、プライバシー保護に関するセキュリティ標準。年内には発効し、今後世界のプライバシー保護対策の標準として普及することが見込まれている。

買収先企業のシステムがまさかの「おもらし」? デューデリ不足で制裁金も

 PRFが注目される背景には、従来の各国法制度に対応したプライバシー保護対策だけでは、増え続ける国内および国際的なITサービスの維持や拡大に不安が大きいことが挙げられる。

 日本でのプライバシー保護施策は個人情報保護委員会が監視・監督する個人情報保護法・特定個人情報保護法への対応が中心になっており、加えてプライバシーマーク、ISMS、ISO 27001などを取得する企業も多い。しかしそれだけで外国の法制度への対応は難しい。

PwCコンサルティング合同会社 弁護士 世古修平氏

 PwCコンサルティングの世古修平弁護士によると、米国では動画共有アプリ開発企業がユーザーである13歳未満の子供の個人情報を取り扱う前に、保護者の同意を取得していなかったとして、数億円の制裁金が科された事例があるという。

 またEUはGDPRによる横断的なプライバシー保護制度が敷かれることが知られるが、ある運送サービス企業の例として、個人情報の登録の2年後にシステムから氏名・住所を削除した上でデータを保持していたが、電話番号、位置情報などが削除されていなかったため、匿名化ができていないとされ、必要が期限を超えた個人データ保持のかどで数千万円の制裁金が科された事例がある。

 他にも、EU内のあるホテル運営企業は、ホテルを買収する際に、買収ホテルがサイバー攻撃を受けていたことに気付かず、長期間にわたってデータを漏えいしていたことで、買収に際して十分な調査(デューデリジェンス)を行わなかったとして数百億円の制裁金が科されたという。

 同様に中国、インド、ロシア、東南アジア諸国などでもプライバシーに関する規制は厳格化していくものと思われる。こうした各国法制度への対応は、日本の情報保護法に対応しているだけでは不十分なことが明らかだ。

 たとえ各国の法制度に対応して罰則を受けることは避けられても、ユーザーが期待するプライバシー保護ができていない場合には、サービスからのユーザーの離脱・離反が起こり、ユーザーから批判が出ないまでも社会的な期待に反するプライベートデータ利用を行なった場合にはSNSの炎上をはじめ企業のブランドが毀損される可能性がある。法令順守は最低限のこととして、ユーザーの期待と社会の期待に応えるプライバシー保護対策が求められているのだ。

 そこで、セキュリティとプライバシー保護対策をどのようにとるべきかの指針が求められる。これに応えるものとして、NISTが策定しているのがCSFとPRFだ。

CSFとPRFの違いは?

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。