JP6914454B2 - プライバシーリスク分析システム、プライバシーリスク分析方法及びプライバシーリスク分析プログラム - Google Patents
プライバシーリスク分析システム、プライバシーリスク分析方法及びプライバシーリスク分析プログラム Download PDFInfo
- Publication number
- JP6914454B2 JP6914454B2 JP2020558643A JP2020558643A JP6914454B2 JP 6914454 B2 JP6914454 B2 JP 6914454B2 JP 2020558643 A JP2020558643 A JP 2020558643A JP 2020558643 A JP2020558643 A JP 2020558643A JP 6914454 B2 JP6914454 B2 JP 6914454B2
- Authority
- JP
- Japan
- Prior art keywords
- risk
- entity
- entities
- role
- privacy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
Description
この発明は、パーソナルデータの取り扱いに関するリスクであるプライバシーに関するリスク(以下、プライバシーリスク)を分析する技術に関する。
パーソナルデータのサービスでの活用が広がっている。これに伴いプライバシー侵害の事案も増加し、パーソナルデータを取り扱う事業者はプライバシーへの配慮が求められている。そのため、事業者はパーソナルデータを取り扱うシステムの開発、又は、パーソナルデータを使ったサービスを行うにあたり、プライバシーリスクを把握し、対策を行う必要がある。
しかし、複数の事業者でパーソナルデータを取り扱う場合、事業者毎にプライバシーリスクが異なる。例えば、システムの運用を担当する事業者からシステムの保守を担当する別の事業者にパーソナルデータを提供する場合、「データの安全管理措置の不備」といったリスクの対処については、システムの運用事業者と保守事業者の両方に求められる。これに対して、「利用目的が具体的でない」といったリスクの対処についてはシステムの運用事業者のみに求められる。
複数の事業者でパーソナルデータを取り扱う場合、現状は各事業者が個別にお互いのリスク対処範囲を把握せず、自身の利害のみを考慮してリスク対処を行っている。そのため、パーソナルデータ提供者のプライバシー保護に必要なリスク対処範囲全体において、対処の漏れや重複が発生する可能性がある。
しかし、複数の事業者でパーソナルデータを取り扱う場合、事業者毎にプライバシーリスクが異なる。例えば、システムの運用を担当する事業者からシステムの保守を担当する別の事業者にパーソナルデータを提供する場合、「データの安全管理措置の不備」といったリスクの対処については、システムの運用事業者と保守事業者の両方に求められる。これに対して、「利用目的が具体的でない」といったリスクの対処についてはシステムの運用事業者のみに求められる。
複数の事業者でパーソナルデータを取り扱う場合、現状は各事業者が個別にお互いのリスク対処範囲を把握せず、自身の利害のみを考慮してリスク対処を行っている。そのため、パーソナルデータ提供者のプライバシー保護に必要なリスク対処範囲全体において、対処の漏れや重複が発生する可能性がある。
このようなプライバシーリスク対処の漏れや重複を回避する手段として、パーソナルデータを取り扱う事業者間でリスク対処について協議及び連携しながら、各事業者がリスクに対処する方法が検討されている。
例えば、非特許文献1には、パーソナルデータ利活用に関するマルチステークホルダープロセスの検討の中で、データ提供者と事業者との間でプライバシーリスクについて協議することが記載されている。
また、非特許文献2には、プライバシー侵害による損害を事前に防ぐため、プライバシー侵害が起こるリスクを事前に評価しシステム設計に反映させるプライバシーリスク評価手法であるPIA(Privacy Impact Assessment)が記載されている。PIAでは、リスク評価対象システムの開発や運用に関連する事業者を分析し、事業者のリスク対処の責任範囲を明らかにすることが求められている。
例えば、非特許文献1には、パーソナルデータ利活用に関するマルチステークホルダープロセスの検討の中で、データ提供者と事業者との間でプライバシーリスクについて協議することが記載されている。
また、非特許文献2には、プライバシー侵害による損害を事前に防ぐため、プライバシー侵害が起こるリスクを事前に評価しシステム設計に反映させるプライバシーリスク評価手法であるPIA(Privacy Impact Assessment)が記載されている。PIAでは、リスク評価対象システムの開発や運用に関連する事業者を分析し、事業者のリスク対処の責任範囲を明らかにすることが求められている。
野村総合研究所著, 「平成26年度我が国経済社会の情報化・サービス化に係る基盤整備 (パーソナルデータ利活用に関するマルチステークホルダープロセスの実施方法等の調査事業) 報告書」, 平成27年3月
ISO/IEC 29134:2017 Information technology − Security techniques ―― Guidelines for privacy impact assessment.
現状は、各事業者のプライバシーリスク又はリスク対処の責任の大きさを分析するための詳細手順及びツールは無く、分析者は独自のノウハウで分析を実施している。そのため、知識を持っている人でないと分析が困難である。さらに、分析の詳細手順が体系的に整理されていないため、分析を実施できる人であっても時間がかかってしまう。
この発明は、分析者の能力に依存せずにプライバシーリスクに関する分析を可能とすることを目的とする。
この発明は、分析者の能力に依存せずにプライバシーリスクに関する分析を可能とすることを目的とする。
この発明に係るプライバシーリスク分析システムは、
パーソナルデータの提供関係にある2つのエンティティの間の前記パーソナルデータに関する契約の有無と、前記パーソナルデータの利用目的を決定するエンティティと、前記2つのエンティティにおける前記パーソナルデータの利用目的の一致状況とに応じて、前記2つのエンティティそれぞれを特定対象として、特定対象のエンティティの役割を特定する役割特定部と、
前記役割特定部によって特定された前記特定対象のエンティティの前記役割に基づき、前記特定対象のエンティティのリスク行為を特定するリスク特定部とを備える。
パーソナルデータの提供関係にある2つのエンティティの間の前記パーソナルデータに関する契約の有無と、前記パーソナルデータの利用目的を決定するエンティティと、前記2つのエンティティにおける前記パーソナルデータの利用目的の一致状況とに応じて、前記2つのエンティティそれぞれを特定対象として、特定対象のエンティティの役割を特定する役割特定部と、
前記役割特定部によって特定された前記特定対象のエンティティの前記役割に基づき、前記特定対象のエンティティのリスク行為を特定するリスク特定部とを備える。
この発明では、2つのエンティティの間のパーソナルデータに関する契約の有無といった情報から各エンティティの役割を特定して、各エンティティのリスク行為を特定する。契約の有無といった情報は、分析者の能力に依存せずに特定可能な情報であり、分析者の能力に依存せずにプライバシーリスクに関する分析が可能である。
実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係るプライバシーリスク分析システム10の構成を説明する。
プライバシーリスク分析システム10は、エンティティ分析装置20と、リスク特定装置30と、評価装置40とを備える。エンティティ分析装置20と、リスク特定装置30と、評価装置40とは、インターネットとLAN(Local Area Network)と専用線といった伝送路50を介して接続されている。
***構成の説明***
図1を参照して、実施の形態1に係るプライバシーリスク分析システム10の構成を説明する。
プライバシーリスク分析システム10は、エンティティ分析装置20と、リスク特定装置30と、評価装置40とを備える。エンティティ分析装置20と、リスク特定装置30と、評価装置40とは、インターネットとLAN(Local Area Network)と専用線といった伝送路50を介して接続されている。
図2を参照して、実施の形態1に係るエンティティ分析装置20の構成を説明する。
エンティティ分析装置20は、コンピュータである。エンティティ分析装置20は、エンティティ間のデータフローと契約関係とを分析し、パーソナルデータに関する各エンティティの役割を特定する。エンティティとは、パーソナルデータを取り扱う事業者及びパーソナルデータ提供者である。
エンティティ分析装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
エンティティ分析装置20は、コンピュータである。エンティティ分析装置20は、エンティティ間のデータフローと契約関係とを分析し、パーソナルデータに関する各エンティティの役割を特定する。エンティティとは、パーソナルデータを取り扱う事業者及びパーソナルデータ提供者である。
エンティティ分析装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
エンティティ分析装置20は、機能構成要素として、データ入力部211と、データフロー生成部212と、データフロー入力部213と、契約関係生成部214と、契約関係入力部215と、役割特定部216とを備える。エンティティ分析装置20の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ23には、エンティティ分析装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、エンティティ分析装置20の各機能構成要素の機能が実現される。
ストレージ23には、エンティティ分析装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、エンティティ分析装置20の各機能構成要素の機能が実現される。
ストレージ23は、データ入力情報231と、データフロー情報232と、契約関係情報233と、提供形態情報234とを記憶する。
図3を参照して、実施の形態1に係るリスク特定装置30の構成を説明する。
リスク特定装置30は、コンピュータである。リスク特定装置30は、エンティティ分析装置20によって特定されたエンティティの役割からエンティティのプライバシーリスク行為を特定する。
リスク特定装置30は、プロセッサ31と、メモリ32と、ストレージ33と、通信インタフェース34とのハードウェアを備える。プロセッサ31は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
リスク特定装置30は、コンピュータである。リスク特定装置30は、エンティティ分析装置20によって特定されたエンティティの役割からエンティティのプライバシーリスク行為を特定する。
リスク特定装置30は、プロセッサ31と、メモリ32と、ストレージ33と、通信インタフェース34とのハードウェアを備える。プロセッサ31は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
リスク特定装置30は、機能構成要素として、リスク特定部311と、分析情報生成部312とを備える。リスク特定装置30の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ33には、リスク特定装置30の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ31によりメモリ32に読み込まれ、プロセッサ31によって実行される。これにより、リスク特定装置30の各機能構成要素の機能が実現される。
ストレージ33には、リスク特定装置30の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ31によりメモリ32に読み込まれ、プロセッサ31によって実行される。これにより、リスク特定装置30の各機能構成要素の機能が実現される。
ストレージ33は、リスク情報331と、分析情報332とを記憶する。
図4を参照して、実施の形態1に係る評価装置40の構成を説明する。
評価装置40は、コンピュータである。評価装置40は、リスク特定装置30によって特定されたエンティティのリスク行為から、エンティティのプライバシーリスクの大きさを計算する。
評価装置40は、プロセッサ41と、メモリ42と、ストレージ43と、通信インタフェース44とのハードウェアを備える。プロセッサ41は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
評価装置40は、コンピュータである。評価装置40は、リスク特定装置30によって特定されたエンティティのリスク行為から、エンティティのプライバシーリスクの大きさを計算する。
評価装置40は、プロセッサ41と、メモリ42と、ストレージ43と、通信インタフェース44とのハードウェアを備える。プロセッサ41は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
評価装置40は、機能構成要素として、リスク計算部411と、出力部412とを備える。評価装置40の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ43には、評価装置40の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ41によりメモリ42に読み込まれ、プロセッサ41によって実行される。これにより、評価装置40の各機能構成要素の機能が実現される。
ストレージ43には、評価装置40の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ41によりメモリ42に読み込まれ、プロセッサ41によって実行される。これにより、評価装置40の各機能構成要素の機能が実現される。
プロセッサ21,31,41は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ21,31,41は、具体例としては、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
メモリ22,32,42は、データを一時的に記憶する記憶装置である。メモリ22,32,42は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。
ストレージ23,33,43は、データを保管する記憶装置である。ストレージ23,33,43は、具体例としては、HDD(Hard Disk Drive)である。また、ストレージ23,33,43は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash,登録商標)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。
通信インタフェース24,34,44は、外部の装置と通信するためのインタフェースである。通信インタフェース24,34,44は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High−Definition Multimedia Interface)のポートである。
図2では、プロセッサ21は、1つだけ示されていた。しかし、プロセッサ21は、複数であってもよく、複数のプロセッサ21が、各機能を実現するプログラムを連携して実行してもよい。同様に、プロセッサ31,41は、複数であってもよく、複数のプロセッサ31,41が、各機能を実現するプログラムを連携して実行してもよい。
***動作の説明***
図5から図17を参照して、実施の形態1に係るプライバシーリスク分析システム10の動作を説明する。
実施の形態1に係るプライバシーリスク分析システム10の動作は、実施の形態1に係るプライバシーリスク分析方法に相当する。また、実施の形態1に係るプライバシーリスク分析システム10の動作は、実施の形態1に係るプライバシーリスク分析プログラムの処理に相当する。
図5から図17を参照して、実施の形態1に係るプライバシーリスク分析システム10の動作を説明する。
実施の形態1に係るプライバシーリスク分析システム10の動作は、実施の形態1に係るプライバシーリスク分析方法に相当する。また、実施の形態1に係るプライバシーリスク分析システム10の動作は、実施の形態1に係るプライバシーリスク分析プログラムの処理に相当する。
図5を参照して、実施の形態1に係るエンティティ分析装置20の動作を説明する。
(ステップS11:データ入力処理)
データ入力部211は、分析対象とするパーソナルデータのデータ項目の入力を受け付ける。そして、データ入力部211は、受け付けられたパーソナルデータのデータ項目をデータ入力情報231としてストレージ23に書き込む。
具体的には、データ入力部211は、通信インタフェース24を介して、エンティティ分析装置20のユーザから、分析対象とするパーソナルデータのデータ項目の入力を受け付ける。分析対象とするパーソナルデータのデータ項目は、例えば、ユーザがビジネス展開するサービスや開発するシステムで取り扱うパーソナルデータの項目である。そして、データ入力部211は、各データ項目にID(IDentification)を割り当てて、データ入力情報231としてストレージ23に書き込む。
その結果、図6に示すように、データ項目ID(IDentification)と、データ項目とを含むデータ入力情報231が生成される。図6では、分析対象とするパーソナルデータのデータ項目として、「氏名」と「映像情報」とが示されている。
(ステップS11:データ入力処理)
データ入力部211は、分析対象とするパーソナルデータのデータ項目の入力を受け付ける。そして、データ入力部211は、受け付けられたパーソナルデータのデータ項目をデータ入力情報231としてストレージ23に書き込む。
具体的には、データ入力部211は、通信インタフェース24を介して、エンティティ分析装置20のユーザから、分析対象とするパーソナルデータのデータ項目の入力を受け付ける。分析対象とするパーソナルデータのデータ項目は、例えば、ユーザがビジネス展開するサービスや開発するシステムで取り扱うパーソナルデータの項目である。そして、データ入力部211は、各データ項目にID(IDentification)を割り当てて、データ入力情報231としてストレージ23に書き込む。
その結果、図6に示すように、データ項目ID(IDentification)と、データ項目とを含むデータ入力情報231が生成される。図6では、分析対象とするパーソナルデータのデータ項目として、「氏名」と「映像情報」とが示されている。
(ステップS12:データフロー生成処理)
データフロー生成部212は、ステップS11で受け付けられたパーソナルデータの各データ項目を対象として、対象のデータ項目について、データフロー情報232のシートを生成する。つまり、データフロー生成部212は、パーソナルデータのデータ項目がn個ある場合、データフロー情報232のシートをn枚生成する。データフロー情報232は、エンティティ間のデータフローに関する情報である。
具体的には、図7に示すように、データフロー生成部212は、対象のデータ項目について、エンティティIDと、データ項目と、エンティティと、データが渡る順序と、エンティティの役割と、リスク行為とを含むデータフロー情報232のシートを生成する。そして、データフロー生成部212は、シートのデータ項目の欄に対象のデータ項目の名称を設定して、ストレージ23に書き込む。
図6に示すように「氏名」と「映像情報」とのデータ項目がステップS11で受け付けられた場合には、図7に示すように、「氏名」のシートと、「映像情報」のシートとが生成される。「氏名」のシートのデータ項目の欄には、D1.氏名が設定され、「映像情報」のシートのデータ項目の欄には、D2.映像情報が設定される。なお、D1及びD2は、データの取得元のデータ項目IDを示す。
データフロー生成部212は、ステップS11で受け付けられたパーソナルデータの各データ項目を対象として、対象のデータ項目について、データフロー情報232のシートを生成する。つまり、データフロー生成部212は、パーソナルデータのデータ項目がn個ある場合、データフロー情報232のシートをn枚生成する。データフロー情報232は、エンティティ間のデータフローに関する情報である。
具体的には、図7に示すように、データフロー生成部212は、対象のデータ項目について、エンティティIDと、データ項目と、エンティティと、データが渡る順序と、エンティティの役割と、リスク行為とを含むデータフロー情報232のシートを生成する。そして、データフロー生成部212は、シートのデータ項目の欄に対象のデータ項目の名称を設定して、ストレージ23に書き込む。
図6に示すように「氏名」と「映像情報」とのデータ項目がステップS11で受け付けられた場合には、図7に示すように、「氏名」のシートと、「映像情報」のシートとが生成される。「氏名」のシートのデータ項目の欄には、D1.氏名が設定され、「映像情報」のシートのデータ項目の欄には、D2.映像情報が設定される。なお、D1及びD2は、データの取得元のデータ項目IDを示す。
(ステップS13:データフロー入力処理)
データフロー入力部213は、ステップS11で受け付けられたパーソナルデータの各データ項目を対象として、対象のデータ項目について、パーソナルデータを取り扱うエンティティと、データが渡る順序との入力を受け付ける。そして、データフロー入力部213は、受け付けられたエンティティとデータが渡る順序とを、データフロー情報232の対応するシートに書き込む。
具体的には、データフロー入力部213は、通信インタフェース24を介して、エンティティ分析装置20のユーザから、対象のデータ項目について、パーソナルデータを取り扱うエンティティと、データが渡る順序との入力を受け付ける。データフロー入力部213は、対象のデータ項目のパーソナルデータを取り扱うエンティティがm個ある場合には、m個のエンティティと、m個のエンティティそれぞれについてデータが渡る順序を表す1〜mの数値との入力を受け付ける。データフロー入力部213は、データが渡る順に、E1,E2,...,EmのエンティティIDを割り当てる。そして、図8に示すように、データフロー入力部213は、データフロー情報232における対象のデータ項目についてのシートのエンティティIDと、エンティティと、データが渡る順序との欄にデータを設定する。
その結果、図8に示すように、データフロー情報232の「氏名」のシートについては、エンティティIDがE1からE4のレコードが設定される。そして、各レコードのエンティティ及びデータが渡る順序の欄には、「通行人」及び「1」と、「X社」及び「2」と、「Y社」及び「3」と、「Z社」及び「4」とが設定される。
データフロー入力部213は、ステップS11で受け付けられたパーソナルデータの各データ項目を対象として、対象のデータ項目について、パーソナルデータを取り扱うエンティティと、データが渡る順序との入力を受け付ける。そして、データフロー入力部213は、受け付けられたエンティティとデータが渡る順序とを、データフロー情報232の対応するシートに書き込む。
具体的には、データフロー入力部213は、通信インタフェース24を介して、エンティティ分析装置20のユーザから、対象のデータ項目について、パーソナルデータを取り扱うエンティティと、データが渡る順序との入力を受け付ける。データフロー入力部213は、対象のデータ項目のパーソナルデータを取り扱うエンティティがm個ある場合には、m個のエンティティと、m個のエンティティそれぞれについてデータが渡る順序を表す1〜mの数値との入力を受け付ける。データフロー入力部213は、データが渡る順に、E1,E2,...,EmのエンティティIDを割り当てる。そして、図8に示すように、データフロー入力部213は、データフロー情報232における対象のデータ項目についてのシートのエンティティIDと、エンティティと、データが渡る順序との欄にデータを設定する。
その結果、図8に示すように、データフロー情報232の「氏名」のシートについては、エンティティIDがE1からE4のレコードが設定される。そして、各レコードのエンティティ及びデータが渡る順序の欄には、「通行人」及び「1」と、「X社」及び「2」と、「Y社」及び「3」と、「Z社」及び「4」とが設定される。
(ステップS14:契約関係生成処理)
契約関係生成部214は、ステップS11で受け付けられたパーソナルデータの各データ項目を対象として、対象のデータ項目について、データフロー情報232のシートに基づき、契約関係情報233のシートを生成する。つまり、契約関係生成部214は、パーソナルデータのデータ項目がn個ある場合、契約関係情報233のシートをn枚生成する。契約関係情報233は、エンティティ間の契約関係を構成する情報である。
具体的には、図9に示すように、契約関係生成部214は、対象のデータ項目について、契約IDと、データ項目と、エンティティの組合せと、エンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況とを含む契約関係情報233のシートを生成する。エンティティの組合せには、データを渡すエンティティと、データを受け取るエンティティとが含まれる。契約関係生成部214は、パーソナルデータの直接の提供関係にあるエンティティの組合せ毎にレコードを生成する。そのため、対象のデータ項目のパーソナルデータを取り扱うエンティティがm個ある場合には、m−1個のレコードが生成される。契約関係生成部214は、シートのデータ項目の欄に対象のデータ項目の名称を設定し、シートのエンティティの組合せの欄にパーソナルデータの直接の提供関係にあるエンティティの組合せを設定する。具体的には、データが渡る順序が早い方のエンティティがデータを渡すエンティティの欄に設定され、データが渡る順序が遅い方のエンティティがデータを受け取るエンティティの欄に設定される。契約関係生成部214は、データが渡る順序が早い方から、契約IDをC1,C2,...Cm−1の順に設定する。そして、契約関係生成部214は、契約関係情報233をストレージ23に書き込む。
図8に示すようにデータフロー情報232の「氏名」のシートが設定されている場合には、パーソナルデータの流れは、E1.通行人→E2.X社→E3.Y社→E4.Z社である。そのため、図9に示すように、契約IDがC1からC3のレコードが生成される。そして、契約IDがC1のレコードには、エンティティの組合せの欄に「E1.通行人」及び「E2.X社」が設定される。契約IDがC2のレコードには、エンティティの組合せの欄に「E2.X社」及び「E3.Y社」が設定される。契約IDがC3のレコードには、エンティティの組合せの欄に「E3.Y社」及び「E4.Z社」が設定される。なお、E1からE4は、データの取得元のエンティティIDを示す。
契約関係生成部214は、ステップS11で受け付けられたパーソナルデータの各データ項目を対象として、対象のデータ項目について、データフロー情報232のシートに基づき、契約関係情報233のシートを生成する。つまり、契約関係生成部214は、パーソナルデータのデータ項目がn個ある場合、契約関係情報233のシートをn枚生成する。契約関係情報233は、エンティティ間の契約関係を構成する情報である。
具体的には、図9に示すように、契約関係生成部214は、対象のデータ項目について、契約IDと、データ項目と、エンティティの組合せと、エンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況とを含む契約関係情報233のシートを生成する。エンティティの組合せには、データを渡すエンティティと、データを受け取るエンティティとが含まれる。契約関係生成部214は、パーソナルデータの直接の提供関係にあるエンティティの組合せ毎にレコードを生成する。そのため、対象のデータ項目のパーソナルデータを取り扱うエンティティがm個ある場合には、m−1個のレコードが生成される。契約関係生成部214は、シートのデータ項目の欄に対象のデータ項目の名称を設定し、シートのエンティティの組合せの欄にパーソナルデータの直接の提供関係にあるエンティティの組合せを設定する。具体的には、データが渡る順序が早い方のエンティティがデータを渡すエンティティの欄に設定され、データが渡る順序が遅い方のエンティティがデータを受け取るエンティティの欄に設定される。契約関係生成部214は、データが渡る順序が早い方から、契約IDをC1,C2,...Cm−1の順に設定する。そして、契約関係生成部214は、契約関係情報233をストレージ23に書き込む。
図8に示すようにデータフロー情報232の「氏名」のシートが設定されている場合には、パーソナルデータの流れは、E1.通行人→E2.X社→E3.Y社→E4.Z社である。そのため、図9に示すように、契約IDがC1からC3のレコードが生成される。そして、契約IDがC1のレコードには、エンティティの組合せの欄に「E1.通行人」及び「E2.X社」が設定される。契約IDがC2のレコードには、エンティティの組合せの欄に「E2.X社」及び「E3.Y社」が設定される。契約IDがC3のレコードには、エンティティの組合せの欄に「E3.Y社」及び「E4.Z社」が設定される。なお、E1からE4は、データの取得元のエンティティIDを示す。
(ステップS15:契約関係入力処理)
契約関係入力部215は、ステップS14で生成された契約関係情報233の各シートの各レコードを対象として、エンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況との入力を受け付ける。そして、契約関係入力部215は、受け付けられたエンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況とを、契約関係情報233における対象のシートの対象のレコードに設定する。
具体的には、契約関係入力部215は、通信インタフェース24を介して、エンティティ分析装置20のユーザから、対象のシートの対象のレコードについてのエンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況との入力を受け付ける。そして、契約関係入力部215は、受け付けられたエンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況とを、契約関係情報233における対象のシートの対象のレコードに設定する。
契約関係入力部215は、ステップS14で生成された契約関係情報233の各シートの各レコードを対象として、エンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況との入力を受け付ける。そして、契約関係入力部215は、受け付けられたエンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況とを、契約関係情報233における対象のシートの対象のレコードに設定する。
具体的には、契約関係入力部215は、通信インタフェース24を介して、エンティティ分析装置20のユーザから、対象のシートの対象のレコードについてのエンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況との入力を受け付ける。そして、契約関係入力部215は、受け付けられたエンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況とを、契約関係情報233における対象のシートの対象のレコードに設定する。
エンティティ間の契約の有無は、パーソナルデータの提供関係にある2つのエンティティの間のパーソナルデータに関する契約の有無を意味している。エンティティ間の契約の有無としては、「有」又は「無」が入力される。
利用目的を決定するエンティティは、2つのエンティティのうちのどちらのエンティティがパーソナルデータの利用目的を決定するかを意味している。なお、ここでは2つのエンティティにおいてデータの利用目的を決定するかどうか不明といった状況は考慮しない。利用目的を決定するエンティティとしては、エンティティの組合せにおけるデータを渡すエンティティの欄のエンティティとデータを受け取るエンティティの欄のエンティティとの少なくともいずれか、又は、エンティティが利用目的を決定しないことを示す「−」が入力される。
利用目的の一致状況は、2つのエンティティにおけるパーソナルデータの利用目的が一致しているか否かを意味している。利用目的の一致状況としては、利用目的が一致することを示す「一致」と、利用目的が一致しないことを示す「不一致」と、入力不要を示す「−」とのいずれかが入力される。なお、利用目的を決定するエンティティ欄にエンティティが2つ入力されていない場合には、利用目的の一致状況は入力不要になる。
ここでは、図10に示すように、エンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況として、「氏名」のシートにおける契約IDがC1のレコードには、「無」と、「−」と、「−」とが設定され、契約IDがC2のレコードには、「有」と、「E3.Y社」と、「−」とが設定され、契約IDがC3のレコードには、「有」と、「E3.Y社、E4.Z社」と、「不一致」とが設定されたとする。
利用目的を決定するエンティティは、2つのエンティティのうちのどちらのエンティティがパーソナルデータの利用目的を決定するかを意味している。なお、ここでは2つのエンティティにおいてデータの利用目的を決定するかどうか不明といった状況は考慮しない。利用目的を決定するエンティティとしては、エンティティの組合せにおけるデータを渡すエンティティの欄のエンティティとデータを受け取るエンティティの欄のエンティティとの少なくともいずれか、又は、エンティティが利用目的を決定しないことを示す「−」が入力される。
利用目的の一致状況は、2つのエンティティにおけるパーソナルデータの利用目的が一致しているか否かを意味している。利用目的の一致状況としては、利用目的が一致することを示す「一致」と、利用目的が一致しないことを示す「不一致」と、入力不要を示す「−」とのいずれかが入力される。なお、利用目的を決定するエンティティ欄にエンティティが2つ入力されていない場合には、利用目的の一致状況は入力不要になる。
ここでは、図10に示すように、エンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況として、「氏名」のシートにおける契約IDがC1のレコードには、「無」と、「−」と、「−」とが設定され、契約IDがC2のレコードには、「有」と、「E3.Y社」と、「−」とが設定され、契約IDがC3のレコードには、「有」と、「E3.Y社、E4.Z社」と、「不一致」とが設定されたとする。
ここでの契約は、個人情報保護法で規定される委託、第三者提供、共同利用におけるデータ提供契約を指す。データ提供時の本人同意及びサービス利用に関する契約に関しては、適用範囲外とする。また、ここでは、データ提供が直接行われる事業者間で契約を結ぶケースを対象とし、データ提供が間接的に行われる事業者間で契約を結ぶケースについては対象外とする。
(ステップS16:役割特定処理)
役割特定部216は、ステップS14で生成された契約関係情報233の各シートの各レコードを対象として、2つのエンティティの役割を特定する。そして、データフロー情報232の特定対象のエンティティのレコードにおけるエンティティの役割の欄に、特定された役割を設定する。この際、役割特定部216は、パーソナルデータの提供関係にある2つのエンティティの間のパーソナルデータに関する契約の有無と、パーソナルデータの利用目的を決定するエンティティと、2つのエンティティにおけるパーソナルデータの利用目的の一致状況とに応じて、2つのエンティティの役割を特定する。なお、1つのエンティティに対して、複数の役割が特定される場合も起こり得る。
具体的には、役割特定部216は、図11に示すような提供形態情報234を参照する。提供形態情報234は、エンティティ間のデータフロー及び契約関係を、個人情報保護法で規定されるデータ提供(委託、第三者提供、共同利用)と情報提供者本人からの提供の4つの提供の種類に応じてパターン化した情報である。提供形態情報234は、エンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況との組合せ毎にエンティティの役割を示す。役割特定部216は、対象のシートの対象のレコードについてのエンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況との組合せに対応するエンティティの役割を抽出する。これにより、役割特定部216は、対象のシートの対象のレコードについてのエンティティの役割を特定する。そして、図12に示すように、データフロー情報232の「氏名」のシートにおけるエンティティIDがE1のレコードには、役割として「データ主体」が設定され、エンティティIDがE2のレコードには、役割として「データ処理者」が設定され、エンティティIDがE3のレコードには、役割として「データ管理者」が設定され、エンティティIDがE4のレコードには、役割として「第三者」が設定される。
役割特定部216は、ステップS14で生成された契約関係情報233の各シートの各レコードを対象として、2つのエンティティの役割を特定する。そして、データフロー情報232の特定対象のエンティティのレコードにおけるエンティティの役割の欄に、特定された役割を設定する。この際、役割特定部216は、パーソナルデータの提供関係にある2つのエンティティの間のパーソナルデータに関する契約の有無と、パーソナルデータの利用目的を決定するエンティティと、2つのエンティティにおけるパーソナルデータの利用目的の一致状況とに応じて、2つのエンティティの役割を特定する。なお、1つのエンティティに対して、複数の役割が特定される場合も起こり得る。
具体的には、役割特定部216は、図11に示すような提供形態情報234を参照する。提供形態情報234は、エンティティ間のデータフロー及び契約関係を、個人情報保護法で規定されるデータ提供(委託、第三者提供、共同利用)と情報提供者本人からの提供の4つの提供の種類に応じてパターン化した情報である。提供形態情報234は、エンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況との組合せ毎にエンティティの役割を示す。役割特定部216は、対象のシートの対象のレコードについてのエンティティ間の契約の有無と、利用目的を決定するエンティティと、利用目的の一致状況との組合せに対応するエンティティの役割を抽出する。これにより、役割特定部216は、対象のシートの対象のレコードについてのエンティティの役割を特定する。そして、図12に示すように、データフロー情報232の「氏名」のシートにおけるエンティティIDがE1のレコードには、役割として「データ主体」が設定され、エンティティIDがE2のレコードには、役割として「データ処理者」が設定され、エンティティIDがE3のレコードには、役割として「データ管理者」が設定され、エンティティIDがE4のレコードには、役割として「第三者」が設定される。
ここでは、エンティティの役割は、ISO/IEC 29100:2011で定義されているデータ主体(PII principal)、データ管理者(PII controller)、データ処理者(PII processor)、第三者(third party)を指す。
(ステップS17:データ送信処理)
役割特定部216は、ストレージ23からデータフロー情報232を読み出し、通信インタフェース24を介してデータフロー情報232をリスク特定装置30に送信する。つまり、役割特定部216は、図12に示すように、リスク行為の欄が空欄になったデータフロー情報232をリスク特定装置30に送信する。
役割特定部216は、ストレージ23からデータフロー情報232を読み出し、通信インタフェース24を介してデータフロー情報232をリスク特定装置30に送信する。つまり、役割特定部216は、図12に示すように、リスク行為の欄が空欄になったデータフロー情報232をリスク特定装置30に送信する。
図13を参照して、実施の形態1に係るリスク特定装置30の動作を説明する。
(ステップS21:リスク特定処理)
リスク特定部311は、ステップS17で送信されたデータフロー情報232の各シートにおける各エンティティを特定対象として、特定対象のエンティティの役割に基づき、特定対象のエンティティのリスク行為を特定する。
具体的には、リスク特定部311は、図14に示すようなリスク情報331を参照する。リスク情報331は、エンティティの役割毎に、プライバシー侵害が生じるリスク行為を示す定義情報である。リスク行為は、例えば、エンティティの役割で要求事項が整理されているISO27018やGDPR(General Data Protection Regulation)といった規格への違反行為である。また、エンティティの役割に応じて整理されているリスク行為であれば、これらの規格に記載されているかに関わらずリスク行為としてリスク情報331に含めてもよい。
また、リスク情報331のリスク行為欄については、リスクに関する情報でなく、エンティティの役割で整理される規格に記載される要求事項に関する情報でもよい。
リスク特定部311は、特定対象のエンティティの役割についてのリスク行為をリスク情報331から抽出する。リスク特定部311は、特定対象のエンティティに複数の役割がある場合には、各役割についてのリスク行為をリスク情報331から抽出する。これにより、特定対象のエンティティのリスク行為が特定される。そして、リスク情報331は、データフロー情報232のリスク行為の欄に、特定されたリスク行為を設定する。
ここでは、図15に示すように、データフロー情報232の「氏名」のシートにおけるエンティティIDがE2のレコードには、リスク行為として「安全管理措置を徹底しない」といった情報が設定される。その他のレコードにもリスク行為が設定される。
(ステップS21:リスク特定処理)
リスク特定部311は、ステップS17で送信されたデータフロー情報232の各シートにおける各エンティティを特定対象として、特定対象のエンティティの役割に基づき、特定対象のエンティティのリスク行為を特定する。
具体的には、リスク特定部311は、図14に示すようなリスク情報331を参照する。リスク情報331は、エンティティの役割毎に、プライバシー侵害が生じるリスク行為を示す定義情報である。リスク行為は、例えば、エンティティの役割で要求事項が整理されているISO27018やGDPR(General Data Protection Regulation)といった規格への違反行為である。また、エンティティの役割に応じて整理されているリスク行為であれば、これらの規格に記載されているかに関わらずリスク行為としてリスク情報331に含めてもよい。
また、リスク情報331のリスク行為欄については、リスクに関する情報でなく、エンティティの役割で整理される規格に記載される要求事項に関する情報でもよい。
リスク特定部311は、特定対象のエンティティの役割についてのリスク行為をリスク情報331から抽出する。リスク特定部311は、特定対象のエンティティに複数の役割がある場合には、各役割についてのリスク行為をリスク情報331から抽出する。これにより、特定対象のエンティティのリスク行為が特定される。そして、リスク情報331は、データフロー情報232のリスク行為の欄に、特定されたリスク行為を設定する。
ここでは、図15に示すように、データフロー情報232の「氏名」のシートにおけるエンティティIDがE2のレコードには、リスク行為として「安全管理措置を徹底しない」といった情報が設定される。その他のレコードにもリスク行為が設定される。
(ステップS22:分析情報生成処理)
分析情報生成部312は、データフロー情報232の各シートを参照して、エンティティ毎にリスク行為をまとめ直した分析情報332を生成する。
具体的には、分析情報生成部312は、図16に示すように、エンティティと、リスクと、リスクの大きさとを含む分析情報332を生成する。リスクには、エンティティの役割と、データ項目と、リスク行為とが含まれる。分析情報生成部312は、データフロー情報232のいずれかのシートに含まれる各エンティティを対象として、対象のエンティティについてのレコードを生成し、対象のエンティティをエンティティの欄に設定する。分析情報生成部312は、分析情報332の対象のエンティティのレコードのエンティティの役割とデータ項目とリスク行為との欄に、対象のエンティティに関する情報を設定する。そして、分析情報生成部312は、分析情報332をストレージ33に書き込む。
分析情報生成部312は、データフロー情報232の各シートを参照して、エンティティ毎にリスク行為をまとめ直した分析情報332を生成する。
具体的には、分析情報生成部312は、図16に示すように、エンティティと、リスクと、リスクの大きさとを含む分析情報332を生成する。リスクには、エンティティの役割と、データ項目と、リスク行為とが含まれる。分析情報生成部312は、データフロー情報232のいずれかのシートに含まれる各エンティティを対象として、対象のエンティティについてのレコードを生成し、対象のエンティティをエンティティの欄に設定する。分析情報生成部312は、分析情報332の対象のエンティティのレコードのエンティティの役割とデータ項目とリスク行為との欄に、対象のエンティティに関する情報を設定する。そして、分析情報生成部312は、分析情報332をストレージ33に書き込む。
(ステップS23:データ送信処理)
分析情報生成部312は、ストレージ23から分析情報332を読み出し、通信インタフェース34を介して分析情報332を評価装置40に送信する。
分析情報生成部312は、ストレージ23から分析情報332を読み出し、通信インタフェース34を介して分析情報332を評価装置40に送信する。
図17を参照して、実施の形態1に係る評価装置40の動作を説明する。
(ステップS31:リスク計算処理)
リスク計算部411は、ステップS23で送信された分析情報332の各エンティティを計算対象として、計算対象のエンティティのリスク行為に基づき、計算対象のエンティティのパーソナルデータについてのリスクの大きさを計算する。
具体例としては、リスク計算部411は、分析情報332を参照して、計算対象のエンティティのリスク行為の数をリスクの大きさとして計算する。また、他の具体例としては、リスク計算部411は、リスク行為毎に予め値を決めておき、分析情報332を参照して、計算対象のエンティティのリスク行為についての値の合計値をリスクの大きさとして計算する。
そして、リスク計算部411は、計算されたリスクの大きさを、分析情報332における計算対象のエンティティのレコードのリスクの大きさの欄に設定する。ここでは、図18に示すように、各エンティティのリスクの大きさが設定される。
(ステップS31:リスク計算処理)
リスク計算部411は、ステップS23で送信された分析情報332の各エンティティを計算対象として、計算対象のエンティティのリスク行為に基づき、計算対象のエンティティのパーソナルデータについてのリスクの大きさを計算する。
具体例としては、リスク計算部411は、分析情報332を参照して、計算対象のエンティティのリスク行為の数をリスクの大きさとして計算する。また、他の具体例としては、リスク計算部411は、リスク行為毎に予め値を決めておき、分析情報332を参照して、計算対象のエンティティのリスク行為についての値の合計値をリスクの大きさとして計算する。
そして、リスク計算部411は、計算されたリスクの大きさを、分析情報332における計算対象のエンティティのレコードのリスクの大きさの欄に設定する。ここでは、図18に示すように、各エンティティのリスクの大きさが設定される。
(ステップS32:出力処理)
出力部412は、通信インタフェース44を介して、ステップS31でリスクの大きさが設定された分析情報332をユーザの端末等に出力する。
出力部412は、通信インタフェース44を介して、ステップS31でリスクの大きさが設定された分析情報332をユーザの端末等に出力する。
プライバシーリスク分析システム10の処理において、データ入力情報231と、データフロー情報232と、契約関係情報233と、分析情報332とは、図19に示す関係になる。
つまり、データ入力情報231におけるデータ項目毎にデータフロー情報232のシートが生成される。また、データ入力情報231におけるデータ項目毎に契約関係情報233のシートが生成され、データフロー情報232におけるパーソナルデータの提供関係がある2つのエンティティの組合せ毎に契約関係情報233のレコードが生成される。また、データフロー情報232の全てのシートに含まれるエンティティ毎に分析情報332のレコードが生成される。
つまり、データ入力情報231におけるデータ項目毎にデータフロー情報232のシートが生成される。また、データ入力情報231におけるデータ項目毎に契約関係情報233のシートが生成され、データフロー情報232におけるパーソナルデータの提供関係がある2つのエンティティの組合せ毎に契約関係情報233のレコードが生成される。また、データフロー情報232の全てのシートに含まれるエンティティ毎に分析情報332のレコードが生成される。
***実施の形態1の効果***
以上のように、実施の形態1に係るプライバシーリスク分析システム10は、2つのエンティティの間のパーソナルデータに関する契約の有無といった情報からエンティティの役割を特定し、エンティティの役割に基づきリスク行為を特定する。契約の有無といった情報は、分析者の能力に依存せずに特定可能な情報であり、分析者の能力に依存せずにパーソナルデータに関するプライバシーリスクに関する分析が可能である。
以上のように、実施の形態1に係るプライバシーリスク分析システム10は、2つのエンティティの間のパーソナルデータに関する契約の有無といった情報からエンティティの役割を特定し、エンティティの役割に基づきリスク行為を特定する。契約の有無といった情報は、分析者の能力に依存せずに特定可能な情報であり、分析者の能力に依存せずにパーソナルデータに関するプライバシーリスクに関する分析が可能である。
また、実施の形態1に係るプライバシーリスク分析システム10は、特定されたリスク行為からエンティティ毎のプライバシーリスクの大きさを特定することが可能である。
***他の構成***
<変形例1>
実施の形態1では、エンティティ分析装置20と、リスク特定装置30と、評価装置40とは、それぞれ別の装置であるとして説明した。しかし、エンティティ分析装置20と、リスク特定装置30と、評価装置40とは、1つの装置として構成されてもよい。また、エンティティ分析装置20と、リスク特定装置30とが1つの装置として構成される、あるいは、リスク特定装置30と、評価装置40とが1つの装置として構成されるといった構成であってもよい。
また、エンティティ分析装置20が複数の装置によって実現されてもよい。つまり、エンティティ分析装置20の機能構成要素のうち一部がある装置によって実現され、残りが他の装置によって実現されてもよい。同様に、リスク特定装置30及び評価装置40についても複数の装置によって実現されてもよい。
<変形例1>
実施の形態1では、エンティティ分析装置20と、リスク特定装置30と、評価装置40とは、それぞれ別の装置であるとして説明した。しかし、エンティティ分析装置20と、リスク特定装置30と、評価装置40とは、1つの装置として構成されてもよい。また、エンティティ分析装置20と、リスク特定装置30とが1つの装置として構成される、あるいは、リスク特定装置30と、評価装置40とが1つの装置として構成されるといった構成であってもよい。
また、エンティティ分析装置20が複数の装置によって実現されてもよい。つまり、エンティティ分析装置20の機能構成要素のうち一部がある装置によって実現され、残りが他の装置によって実現されてもよい。同様に、リスク特定装置30及び評価装置40についても複数の装置によって実現されてもよい。
<変形例2>
リスク計算部411は、あるパーソナルデータに関する各エンティティについてのリスクの大きさを合計して、複数のエンティティ全体についてのリスクの大きさである全体リスクを計算してもよい。そして、リスク計算部411は、各エンティティを計算対象として、計算対象のエンティティのリスクの大きさが全体リスクに対して占める割合を計算対象のエンティティの責任の大きさとして計算してもよい。
リスク計算部411は、あるパーソナルデータに関する各エンティティについてのリスクの大きさを合計して、複数のエンティティ全体についてのリスクの大きさである全体リスクを計算してもよい。そして、リスク計算部411は、各エンティティを計算対象として、計算対象のエンティティのリスクの大きさが全体リスクに対して占める割合を計算対象のエンティティの責任の大きさとして計算してもよい。
<変形例3>
実施の形態1では、各機能構成要素が表形式のシートを生成した。しかし、このシートは、一例であり、生成するデータの形式はどのような形式であってもよい。例えば、図20に示すように、データフロー情報232を図形式で表してもよい。
実施の形態1では、各機能構成要素が表形式のシートを生成した。しかし、このシートは、一例であり、生成するデータの形式はどのような形式であってもよい。例えば、図20に示すように、データフロー情報232を図形式で表してもよい。
<変形例4>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例4として、各機能構成要素はハードウェアで実現されてもよい。この変形例4について、実施の形態1と異なる点を説明する。
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例4として、各機能構成要素はハードウェアで実現されてもよい。この変形例4について、実施の形態1と異なる点を説明する。
各機能構成要素がハードウェアで実現される場合には、エンティティ分析装置20は、プロセッサ21とメモリ22とストレージ23とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ22と、ストレージ23との機能とを実現する専用の回路である。
同様に、各機能構成要素がハードウェアで実現される場合には、リスク特定装置30は、プロセッサ31とメモリ32とストレージ33とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ32と、ストレージ33との機能とを実現する専用の回路である。
同様に、各機能構成要素がハードウェアで実現される場合には、評価装置40は、プロセッサ41とメモリ42とストレージ43とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ42と、ストレージ43との機能とを実現する専用の回路である。
同様に、各機能構成要素がハードウェアで実現される場合には、リスク特定装置30は、プロセッサ31とメモリ32とストレージ33とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ32と、ストレージ33との機能とを実現する専用の回路である。
同様に、各機能構成要素がハードウェアで実現される場合には、評価装置40は、プロセッサ41とメモリ42とストレージ43とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ42と、ストレージ43との機能とを実現する専用の回路である。
電子回路としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)が想定される。
各機能構成要素を1つの電子回路で実現してもよいし、各機能構成要素を複数の電子回路に分散させて実現してもよい。
各機能構成要素を1つの電子回路で実現してもよいし、各機能構成要素を複数の電子回路に分散させて実現してもよい。
<変形例5>
変形例5として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。
変形例5として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。
プロセッサ21,31,41とメモリ22,32,42とストレージ23,33,43と電子回路とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。
10 プライバシーリスク分析システム、20 エンティティ分析装置、21 プロセッサ、22 メモリ、23 ストレージ、24 通信インタフェース、211 データ入力部、212 データフロー生成部、213 データフロー入力部、214 契約関係生成部、215 契約関係入力部、216 役割特定部、231 データ入力情報、232 データフロー情報、233 契約関係情報、234 提供形態情報、30 リスク特定装置、31 プロセッサ、32 メモリ、33 ストレージ、34 通信インタフェース、311 リスク特定部、312 分析情報生成部、331 リスク情報、332 分析情報、40 評価装置、41 プロセッサ、42 メモリ、43 ストレージ、44 通信インタフェース、411 リスク計算部、412 出力部、50 伝送路。
Claims (7)
- パーソナルデータの提供関係にある人又は組織である2つのエンティティの間の前記パーソナルデータの提供に関する契約の有無と、前記2つのエンティティのうち前記パーソナルデータの利用目的を決定するエンティティと、前記2つのエンティティにおける前記パーソナルデータの利用目的の一致又は不一致を示す一致状況とを示す入力情報が入力されると、前記2つのエンティティそれぞれを特定対象として、前記契約の有無と前記利用目的を決定するエンティティと前記一致状況との組合せに対応する役割が定められたテーブルを参照して、前記入力情報が示す前記組合せに対応する役割を、特定対象のエンティティの役割として特定する役割特定部と、
役割に対応するリスク行為であって、前記パーソナルデータの取り扱いによるプライバシー侵害に関するリスク行為が定められたテーブルを参照して、前記役割特定部によって特定された前記特定対象のエンティティの前記役割に対応するリスク行為を、前記特定対象のエンティティについてのリスク行為として特定するリスク特定部とを備えるプライバシーリスク分析システム。 - 前記プライバシーリスク分析システムは、さらに、
前記2つのエンティティそれぞれのリスクの大きさを計算するリスク計算部であって、前記リスク特定部によって特定された計算対象のエンティティの前記リスク行為の数を、前記計算対象のエンティティの前記パーソナルデータの取り扱いによるプライバシー侵害に関するリスクの大きさとして計算するリスク計算部
を備える請求項1に記載のプライバシーリスク分析システム。 - 前記役割特定部は、複数のエンティティのうちの前記パーソナルデータの提供関係にある2つのエンティティの各組合せを対象として、対象の組合せの2つのエンティティの役割を特定し、
前記リスク計算部は、前記複数のエンティティそれぞれを計算対象として、前記各組合せにおいて、計算対象のエンティティについて特定された前記リスク行為の数を、前記計算対象のエンティティの前記パーソナルデータの取り扱いによるプライバシー侵害に関するリスクの大きさとして計算する
請求項2に記載のプライバシーリスク分析システム。 - 前記リスク計算部は、前記各組合せにおける前記複数のエンティティそれぞれについての前記リスクの大きさを合計して、前記複数のエンティティ全体についてのリスクの大きさである全体リスクを計算し、前記計算対象のエンティティのリスクの大きさが前記全体リスクに対して占める割合を前記計算対象のエンティティの責任の大きさとして計算する請求項3に記載のプライバシーリスク分析システム。
- 前記契約は、委託と、第三者提供と、共同利用とのいずれかである
請求項1から4までのいずれか1項に記載のプライバシーリスク分析システム。 - プライバシーリスク分析システムの役割特定部が、パーソナルデータの提供関係にある人又は組織である2つのエンティティの間の前記パーソナルデータの提供に関する契約の有無と、前記2つのエンティティのうち前記パーソナルデータの利用目的を決定するエンティティと、前記2つのエンティティにおける前記パーソナルデータの利用目的の一致又は不一致を示す一致状況とを示す入力情報が入力されると、前記2つのエンティティそれぞれを特定対象として、前記契約の有無と前記利用目的を決定するエンティティと前記一致状況との組合せに対応する役割が定められたテーブルを参照して、前記入力情報が示す前記組合せに対応する役割を、特定対象のエンティティの役割として特定し、
前記プライバシーリスク分析システムのリスク特定部が、役割に対応するリスク行為であって、前記パーソナルデータの取り扱いによるプライバシー侵害に関するリスク行為が定められたテーブルを参照して、前記特定対象のエンティティの前記役割に対応するリスク行為であって、前記パーソナルデータの取り扱いによるプライバシー侵害に関するリスク行為を、前記特定対象のエンティティについてのリスク行為として特定するプライバシーリスク分析方法。 - パーソナルデータの提供関係にある人又は組織である2つのエンティティの間の前記パーソナルデータの提供に関する契約の有無と、前記2つのエンティティのうち前記パーソナルデータの利用目的を決定するエンティティと、前記2つのエンティティにおける前記パーソナルデータの利用目的の一致又は不一致を示す一致状況とを示す入力情報が入力されると、前記2つのエンティティそれぞれを特定対象として、前記契約の有無と前記利用目的を決定するエンティティと前記一致状況との組合せに対応する役割が定められたテーブルを参照して、前記入力情報が示す前記組合せに対応する役割を、特定対象のエンティティの役割として特定する役割特定処理と、
役割に対応するリスク行為であって、前記パーソナルデータの取り扱いによるプライバシー侵害に関するリスク行為が定められたテーブルを参照して、前記役割特定処理によって特定された前記特定対象のエンティティの前記役割に対応するリスク行為であって、前記パーソナルデータの取り扱いによるプライバシー侵害に関するリスク行為を、前記特定対象のエンティティについてのリスク行為として特定するリスク特定処理とを行うプライバシーリスク分析装置としてコンピュータを機能させるプライバシーリスク分析プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/000155 WO2020144735A1 (ja) | 2019-01-08 | 2019-01-08 | プライバシーリスク分析システム、プライバシーリスク分析方法及びプライバシーリスク分析プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2020144735A1 JPWO2020144735A1 (ja) | 2021-02-18 |
| JP6914454B2 true JP6914454B2 (ja) | 2021-08-04 |
Family
ID=71521510
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020558643A Active JP6914454B2 (ja) | 2019-01-08 | 2019-01-08 | プライバシーリスク分析システム、プライバシーリスク分析方法及びプライバシーリスク分析プログラム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP6914454B2 (ja) |
| WO (1) | WO2020144735A1 (ja) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5036140B2 (ja) * | 2005-06-10 | 2012-09-26 | 日本電気株式会社 | 個人情報流通管理システム、個人情報流通管理方法、個人情報提供プログラム及び個人情報利用プログラム |
| US9418233B2 (en) * | 2012-02-17 | 2016-08-16 | Nec Corporation | Information processing device for handling privacy information, information processing system for handling privacy information, and information processing method and program for handling privacy information |
| EP2897098A4 (en) * | 2012-09-13 | 2016-04-20 | Nec Corp | RISK ANALYSIS DEVICE, RISK ANALYSIS PROCEDURE AND PROGRAM |
| JP2015141642A (ja) * | 2014-01-30 | 2015-08-03 | 株式会社日立製作所 | 利用同意管理装置 |
| JP6861051B2 (ja) * | 2017-02-28 | 2021-04-21 | 日本電信電話株式会社 | リスク算出装置、リスク算出装置を搭載するリスク判定装置及びリスク算出方法 |
-
2019
- 2019-01-08 JP JP2020558643A patent/JP6914454B2/ja active Active
- 2019-01-08 WO PCT/JP2019/000155 patent/WO2020144735A1/ja active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2020144735A1 (ja) | 2021-02-18 |
| WO2020144735A1 (ja) | 2020-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10776398B2 (en) | Platform data lifecycle management | |
| US20210112101A1 (en) | Data set and algorithm validation, bias characterization, and valuation | |
| Duggineni | An Evolutionary Strategy for Leveraging Data Risk-Based Software Development for Data Integrity | |
| JP6636226B2 (ja) | 対策立案支援装置、対策立案支援方法及び対策立案支援プログラム | |
| Garrido et al. | Lessons learned: Surveying the practicality of differential privacy in the industry | |
| JP6914454B2 (ja) | プライバシーリスク分析システム、プライバシーリスク分析方法及びプライバシーリスク分析プログラム | |
| Kim et al. | Enterprise data loss prevention system having a function of coping with civil suits | |
| CN113744068B (zh) | 一种金融投资数据测评方法及系统 | |
| JP6556681B2 (ja) | 匿名化テーブル生成装置、匿名化テーブル生成方法、プログラム | |
| Heidenreich | How to design a method for measuring IT security in micro enterprises for IT security level measuring? A literature analysis | |
| Lee et al. | A design on information security occupational classification for future convergence environment | |
| JP7008879B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| JP2022102062A (ja) | データプライバシー管理のための方法、装置及びシステム | |
| Dombora | Integrated incident management model for data privacy and information security | |
| Salnitri et al. | Visual Privacy Management: Design and Applications of a Privacy-enabling Platform | |
| Hassan et al. | Computer forensics lab requirements | |
| Khan et al. | Cyber Forensic Lab Setup and Its Requirement | |
| Salnitri et al. | Visual Privacy Management | |
| JP6695511B1 (ja) | 匿名化手法導出装置、匿名化手法導出方法、匿名化手法導出プログラム、及び、匿名化手法導出システム | |
| Afifah | Procurement Records Compliance, Effective Risk Management and Records Management Performance in Malaysia | |
| US20230029190A1 (en) | Data Privacy Enhancing Technique Selection | |
| Butel | Impact of organizational security certification on operational security: Examining the red tape | |
| D'Agostino Jr | Ten years of PCI DSS and we are still losing cardholder data | |
| JP2024044439A (ja) | リスク評価統合装置、リスク評価統合システム及びリスク評価統合方法 | |
| Themeli | Exploring the value of computer forensics in the investigation of procurement fraud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201021 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20201021 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20201218 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210202 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210329 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210615 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210713 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6914454 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |