「情報セキュリティ監査研究会」カテゴリーアーカイブ

ID連携トラストフレームワークの実証事業ご紹介- 情報セキュリティ監査研究会だより No.18 -

ID連携トラストフレームワークの実証事業ご紹介
  - 情報セキュリティ監査研究会だより No.18 -

情報セキュリティ監査研究会では、アン・カブキアン著、「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」をテキスト(以下、左記の書を「テキスト」と称します)として、「プライバシー・バイ・デザイン」の意義、影響、PIAやシステム監査との関係などを、2013年8月から議論しております。

 この情報セキュリティ監査研究会だよりでは、会報5月号から7月号まで、プライバシー・バイ・デザインの一実現形態であるID連携トラストフレームワークのご紹介をしてきました。8月号、9月号は、別のトピックスをご紹介いたしましたが、今回から元に戻って、ID連携トラストフレームの実証事業をご紹介したいと思います。

ご紹介するのは、経済産業省が平成25年度に実施した、「『ID連携トラストフレームワーク』の構築のための実証事業」(資料1)のなかのユースケース、「保証書管理サービス」です。今回は、ID連携トラストフレームワーク自体の解説は掲載いたしませんので、必要に応じて会報のバックナンバー5月号(158号)〜7月号(160号)をご参照願います。なお、会報は、日本システム監査人協会のホームページからPDF形式でダウンロードできます(URL1)。

本報告は、情報セキュリティ監査研究会内部の検討結果であり、日本システム監査人協会の公式の見解ではないことをお断りしておきます。また、我々の力不足のため、誤りも多々あるかと存じます。お気づきの点がございましたら適宜ご指摘いただきたいと存じます。ご興味のある方は、毎月20日前後に定例研究会を開催しておりますので是非ご参加ください。

【報告】「平成25年度経済産業省『ID連携トラストフレームワーク』の構築のための実証事業
 におけるユースケース『保証書管理サービス』ご紹介」

経済産業省は、平成25年度電子経済産業省構築事業の一環として、「『ID連携トラストフレームワーク』の構築のための実証事業」を行い、2014年3月に報告書を公開した(資料1)。
今回は、この報告書のなかの「第5章 ユースケースの具体化によるID連携トラストフレームワークの有効性、実用性の検証」(資料1 pp108-152)をとりあげる。

続きを読む ⇒  情報セキュリティ監査研究会だより No.18

【パーソナルデータの利活用に関する制度改正大綱(検討会案)について - 情報セキュリティ監査研究会だより No.17 -】(連載)

【パーソナルデータの利活用に関する制度改正大綱(検討会案)について
  - 情報セキュリティ監査研究会だより No.17 -】(連載)

 情報セキュリティ監査研究会では、アン・カブキアン著、「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」をテキスト(以下、左記の書を「テキスト」と称します)として、「プライバシー・バイ・デザイン」の意義、影響、PIAやシステム監査との関係などを、2013年8月から議論しております。

  今回は、先ごろ発表されパブリックコメントが募集されました「パーソナルデータの利活用に関する制度改正大綱(検討会案)」について、ご紹介いたします。この大綱は、大きな社会的、ビジネス的、技術的な意義を持つビッグデータの利活用と、それとはトレードオフの関係にある個人情報の保護について、事業者側と個人情報の主体である個人との間で適切な妥協点を見出すため、新たな法制度と施策を打ち出そうというものです。その意味で、従来、トレードオフの関係にあった個人情報の利用と保護の関係を、企業と個人の双方に利益をもたらす関係に転換することを目指すプライバシー・バイ・デザインの考え方と通じるところがあり、連載の途中に挟むことにいたしました。

本報告は、情報セキュリティ監査研究会内部の検討結果であり、日本システム監査人協会の公式の見解ではないことをお断りしておきます。また、我々の力不足のため、誤りも多々あるかと存じます。お気づきの点がございましたら適宜ご指摘いただきたいと存じます。ご興味のある方は、毎月20日前後に定例研究会を開催しておりますので是非ご参加ください。参加ご希望の方、また、ご意見やご質問は、下記アドレスまでメールでご連絡ください。
 security ☆ saaj.jp (発信の際には “ ☆ ” を “@” に変換してください)

【報告】「パーソナルデータの利活用に関する制度改正大綱(検討会案)について」

政府のIT総合戦略本部は、6月19日に開催された第12回パーソナルデータに関する検討会で、「パーソナルデータの利活用に関する制度改正大綱(検討会案)」を了承した。これは、制定後、10余年が経過した個人情報保護法を新たに生じた課題に適合させるため、改正しようというものである。以下、資料1に沿って、その趣旨、基本的な枠組み、今後のスケジュールを紹介する。

続きを読む ⇒  情報セキュリティ監査研究会だより No.17

【情報セキュリティ監査研究会だより No.16 - 特定個人情報保護評価(PIA)指針について】(連載)

情報セキュリティ監査研究会 報告

情報セキュリティ監査研究会では、アン・カブキアン著、「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」をテキスト(以下、左記の書を「テキスト」と称します)として、「プライバシー・バイ・デザイン」の意義、影響、PIAやシステム監査との関係などを、2013年8月から議論しております。

 今回は、8月20日に予定しております、第194回月例研究会「特定個人情報保護評価指針について – マイナンバーにおけるPIA実施の対策と課題等 -」の事前のご紹介という趣旨で、特定個人情報保護評価指針(PIA)のご紹介をさせていただきます。

 実は、7月3日に開催された第192回月例研究会「クラウドサービス利用のための情報セキュリティマネジメントガイドラインの概要及び改訂について」におきまして、担当理事が講演の内容に関する政府公開資料を事前に学習し、講演者に事前に質問をお送りしたところ、充実した回答が得られました。

 さらに、関連質疑でも、この充実した回答の影響で、講演内容の本質を突く質疑が行われ、たいへん創造的な、意義深い講演会になりました。講演者、参加者とも大きな満足が得られ、事前学習には、講演会を相互啓発の場にする大きな効果があると感じた次第です。

(全文を読む) 【情報セキュリティ監査研究会だより No.16 - 特定個人情報保護評価(PIA)指針について】(連載)

【情報セキュリティ監査研究会だより その15 - プライバシー・バイ・デザイン 第10回】(連載)

  情報セキュリティ監査研究会では、アン・カブキアン著、「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」をテキスト(以下、左記の書を「テキスト」と称します)として、「プライバシー・バイ・デザイン」の意義、影響、PIAやシステム監査との関係などを、2013年8月から議論しております。
(中略)

【報告】「ID連携トラストフレームワーク」ご紹介
     その3 — 事業者認証基準案について 

1.ID連携トラストフレームワークの概要
事例のご紹介の前に、今回、初めてご覧になる方のために、ID連携トラストフレームワークを再度、ご紹介する。この部分は、会報2014年5月号の記事に若干、補足を加えたものであり、既にご存知の方は飛ばしていただきたい。

ID連携トラストフレームワークとは、異なる組織間での信頼性を確保したID(アイデンティティ)連携を実現することによって、インターネットサービスの課題を解決し、サービスに係るあらゆる活動をオンライン上で完結できるようにする仕組みである。

なお、ここでいう“ID”の意味は、ユーザID等、個人の識別に用いるための “Identifier”ではなく、“Identity”、すなわち、利用者である個人に関する属性の集まりのことである。

(全文を読む) 【【情報セキュリティ監査研究会だより その15 - プライバシー・バイ・デザイン 第10回】(連載)】

情報セキュリティ監査研究会だより その14 -
  プライバシー・バイ・デザイン 第9回

  情報セキュリティ監査研究会では、アン・カブキアン著、「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」をテキスト(以下、左記の書を「テキスト」と称します)として、「プライバシー・バイ・デザイン」の意義、影響、PIAやシステム監査との関係などを議論しております。この概要を2月21日に開催された日本システム監査人協会第13期総会の後の特別講演会において、「Privacy by Design ご紹介と問題提起」と題して発表し、さらに会報4月号で報告いたしました。

 3月と4月に開催した定例の研究会で、今後の研究テーマについて検討した結果、引き続き、「プライバシー・バイ・デザイン」をテーマに研究を続けることになりました。全体の概要は一段落しましたので、今後は、そのなかの個別の要素についてやや深く検討していくことにいたしました。当面は、FIM(連携アイデンティティ管理)、そのなかでもトラストフレームワーク、次にPIA(プライバシー影響評価)を取り上げる予定です。トラストフレームワークについては、既に概要を会報5月号でご紹介いたしましたが、今回は事例を二つご紹介したいと思います。

(全文を読む) 【情報セキュリティ監査研究会だより その14 -
  プライバシー・バイ・デザイン 第9回】

【情報セキュリティ監査研究会だより その13 - プライバシー・バイ・デザイン 第8回】(連載)

【情報セキュリティ監査研究会だより その13 -
  プライバシー・バイ・デザイン 第8回】(連載)

情報セキュリティ監査研究会では、アン・カブキアン著、
「プライバシー・バイ・デザイン
プライバシー情報を守るための世界的新潮流」
をテキスト(以下、左記の書を「テキスト」と称します)として、
「プライバシー・バイ・デザイン」の意義、影響、
PIAやシステム監査との関係などを議論しております。

この概要を、2月21日に開催された
日本システム監査人協会第13期総会の後の特別講演会において、
「Privacy by Design ご紹介と問題提起」と題して発表し、
さらに会報4月号で報告いたしました。

これをもって「テキスト」解読を中心とした当研究会の活動の
一応のまとめといたしましたが、本号では、
その延長といたしまして、
現在、経済産業省が中心となって推進している
「ID連携トラストフレームワーク」をご紹介しようと思います。

ID連携トラストフレームワークは、
会報12月号で報告したFIM(連携アイデンティティ管理)
の一つのインプリメント形態であり、
プライバシー・バイ・デザインの一要素であります。

今回のご紹介は、主に下記の参考資料1に基づいておりますが、
皆様には会報12月号10、11ページを適宜、ご参照願います
(会報は協会ホームページからダウンロードできます)。

(全文を読む) 【情報セキュリティ監査研究会だより その13 -
  プライバシー・バイ・デザイン 第8回】

情報セキュリティ監査研究会だより その12 - プライバシー・バイ・デザイン 第7回

プライバシー・バイ・デザインの提唱者であるカナダ・オンタリオ州の情報・プライバシー・コミッショナー、アン・カブキアン博士の定義によれば、プライバシー・バイ・デザインとは、「プライバシー情報を扱うあらゆる側面においてプライバシー情報が適切に取り扱われる環境をあらかじめ作り込もうというコンセプト」である。

しかし、これは、単にコンセプトというレベルではなく、フレームワーク、さらにいえば、ムーブメント(運動)と言うべきものではないか。
デジタルネットワーク技術が社会インフラとして深く浸透し、社会全体に革命的な変化が起こりつつある現在、「プライバシー・バイ・デザイン」は、その変化の方向を左右する力を持つものであると考える。

このようなコンセプトを、インターネットが普及し始めた1990年代半ばに提唱した、アン・カブキアン博士の先見性に、深く敬意を表するものである。プライバシー・バイ・デザインの目指すものは、・・・

 続きを読む ⇒ 情報セキュリティ監査研究会だより その12
 

今回の記事のテーマについて、ご興味のある方は、ご参加ください。

【情報セキュリティ監査研究会だより その11 - プライバシー・バイ・デザイン 第6回】

情報セキュリティ監査研究会では、
アン・カブキアン著、「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」
をテキスト(以下、左記の書を「テキスト」と称します)として、
「プライバシー・バイ・デザイン」の意義、影響、PIAやシステム監査との関係などを議論しております。
今回は、テキスト第3章「いざ、実装と運用へ」の第一節「取り組み進むプライバシー・バイ・デザイン:Do Not Trackとプライバシー・バイ・デザイン」をベースに、プライバシー・バイ・デザインの先行事例、Do Not Trackについてご紹介したいと思います。なお、テキストの他に下記の資料を参考にしております。
本報告は、情報セキュリティ監査研究会内部の検討結果であり、・・・

続きを読む 【情報セキュリティ監査研究会だより その11 - プライバシー・バイ・デザイン 第6回】

情報セキュリティ監査研究会だより その10 - プライバシー・バイ・デザイン 第5回(連載)

情報セキュリティ監査研究会では、
アン・カブキアン著、「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」をテキスト(以下、左記の書を「テキスト」と称します)として、「プライバシー・バイ・デザイン」の意義、影響、PIAやシステム監査との関係などを議論しております。

前々回からテキストの第2章第6節「新たな連携プライバシー影響評価(F-PIA):プライバシーと信頼できる連合体の構築」を取り上げております。

なぜ、この節を取り上げたかというと、
ネットワーク社会の進展にともない個人情報が複数の組織間(企業、政府機関、その他の団体)で大量に授受されることがあたりまえになってきているなかで、未だ個人情報保護に関する種々の取り組みが単一の組織内に留まっていて、かかる状況に対応できていないと考えるからです。

我が国のプライバシーマーク制度も単一の組織を対象としています。

この問題に対して、真正面から取り組んでいるのが、・・・

続きを読む 情報セキュリティ監査研究会だより その10 - プライバシー・バイ・デザイン 第5回(連載)

新たな連携プライバシー影響評価(F-PIA):プライバシーと信頼できる連合体の構築

【情報セキュリティ監査研究会だより その9 - プライバシー・バイ・デザイン 第4回】(連載)

情報セキュリティ監査研究会では、
アン・カブキアン著、
「プライバシー・バイ・デザイン プライバシー情報を守るための世界的新潮流」
をテキスト(以下、左記の書を「テキスト」と称します)として、
「プライバシー・バイ・デザイン」の意義、影響、PIAや
システム監査との関係などを議論しております。

前回からテキストの第2章第6節
「新たな連携プライバシー影響評価(F-PIA):プライバシーと信頼できる連合体の構築」
を取り上げております。
なぜ、この節を取り上げたかというと、
ネットワーク社会の進展にともない個人情報が複数の組織間
(企業、政府機関、その他の団体)で大量に授受されること
が当たりえまえになってきているなかで・・・

続きを読む 新たな連携プライバシー影響評価(F-PIA):プライバシーと信頼できる連合体の構築