Entry № 806
Need-to-Know(必要に応じた知る権利)
Need-to-Know(必要に応じた知る権利) とは何ですか?
Need-to-Know(必要に応じた知る権利)業務上の必要があると認められた人だけに情報を開示する原則。たとえ適切な機密区分の許可を持っていても適用される。
Need-to-Know は最小権限の原則に「テーマ別フィルター」を加えるものです。Secret のクリアランスを持つだけでは Secret 文書すべてを閲覧できず、その特定情報を知るべき業務上の理由が文書化されている必要があります。軍と情報機関の運用に起源があり、ISO/IEC 27002、NIST SP 800-53、HIPAA、GDPR などで要求されます。実装はデータ分類、RBAC/ABAC、Just-in-Time アクセス、マスキング、機微情報を誰が何の理由で参照したかを監査するログ運用などで行います。
● 例
- 01
クリアランス保有の人事担当者でも、文書化された人事案件なしに他従業員の医療ファイルを閲覧してはならない。
- 02
DBA は調査用に明示的に承認されない限り、カード番号はマスクされた状態でのみ参照できる。
● よくある質問
Need-to-Know(必要に応じた知る権利) とは何ですか?
業務上の必要があると認められた人だけに情報を開示する原則。たとえ適切な機密区分の許可を持っていても適用される。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
Need-to-Know(必要に応じた知る権利) とはどういう意味ですか?
業務上の必要があると認められた人だけに情報を開示する原則。たとえ適切な機密区分の許可を持っていても適用される。
Need-to-Know(必要に応じた知る権利) からどのように防御しますか?
Need-to-Know(必要に応じた知る権利) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。