プライバシー・バイ・デザイン
プライバシー・バイ・デザイン とは何ですか?
プライバシー・バイ・デザインシステム・プロセス・初期設定に対し、設計の最初期段階からプライバシー観点を組み込む工学・ガバナンスのアプローチ。
プライバシー・バイ・デザイン (PbD) は Ann Cavoukian により提唱され、GDPR 第 25 条において「データ保護バイ・デザイン及びバイ・デフォルト」として法制化されています。基本原則には、プロアクティブな予防、既定でのプライバシー、エンドツーエンドの保護、ライフサイクルの可視化、利用者の権利尊重が含まれます。実務では、個人データへの脅威モデリング、DPIA の組み込み、最小化・仮名化・暗号化・最小権限の適用、処理活動記録への意思決定の記載などを行います。セキュリティ・バイ・デザインを補完し、NIST Privacy Framework、ISO/IEC 27701、OECD ガイドラインと整合させることで、後付け改修や規制・レピュテーションリスクを抑えます。
● 例
- 01
新規 SaaS アカウントを既定でもっともプライバシー保護的な共有設定にしておく。
- 02
生体データを扱う新パイプラインのリリース前に、プライバシーレビューと DPIA を必須化する。
● よくある質問
プライバシー・バイ・デザイン とは何ですか?
システム・プロセス・初期設定に対し、設計の最初期段階からプライバシー観点を組み込む工学・ガバナンスのアプローチ。 サイバーセキュリティの プライバシーとデータ保護 カテゴリに属します。
プライバシー・バイ・デザイン とはどういう意味ですか?
システム・プロセス・初期設定に対し、設計の最初期段階からプライバシー観点を組み込む工学・ガバナンスのアプローチ。
プライバシー・バイ・デザイン はどのように機能しますか?
プライバシー・バイ・デザイン (PbD) は Ann Cavoukian により提唱され、GDPR 第 25 条において「データ保護バイ・デザイン及びバイ・デフォルト」として法制化されています。基本原則には、プロアクティブな予防、既定でのプライバシー、エンドツーエンドの保護、ライフサイクルの可視化、利用者の権利尊重が含まれます。実務では、個人データへの脅威モデリング、DPIA の組み込み、最小化・仮名化・暗号化・最小権限の適用、処理活動記録への意思決定の記載などを行います。セキュリティ・バイ・デザインを補完し、NIST Privacy Framework、ISO/IEC 27701、OECD ガイドラインと整合させることで、後付け改修や規制・レピュテーションリスクを抑えます。
プライバシー・バイ・デザイン からどのように防御しますか?
プライバシー・バイ・デザイン に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
プライバシー・バイ・デザイン の別名は何ですか?
一般的な別名: 設計段階からのデータ保護, プライバシー・バイ・デフォルト。
● 関連用語
- privacy№ 857
プライバシー影響評価 (PIA)
システム・プロジェクト・処理活動が本番運用に入る前に、プライバシーリスクを体系的に洗い出し、評価し、低減するためのプロセス。
- privacy№ 280
データ最小化
明示された適法な目的に必要な範囲でのみ個人データを取得・処理・保存することを求めるプライバシー原則。
- privacy№ 276
データ分類
機微性と価値に基づきデータにラベルを付ける一連のプロセスで、保護・取り扱い・保存の各統制を一貫して適用するための基盤。
- privacy№ 210
同意管理
プライバシー法令に沿って、個人データ処理と Cookie 設置に対するユーザーの許可を取得・記録・更新・適用するためのプロセスとツール。
- compliance№ 440
GDPR
EU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。
- privacy№ 875
仮名化
個人データの直接識別子を可逆的なエイリアスに置き換え、別途保管される追加情報がなければ個人に紐付けられない状態にする手法。
● 関連項目
- № 286データ主体アクセス要求 (DSAR)
- № 932忘れられる権利
- № 284データ保管期間
- № 283データレジデンシー
- № 285データ主権
- № 692モバイルアプリの権限
- № 228CPRA
- № 826PIPEDA