データ保護とプライバシー関連の規制を理解し、遵守することは本当に大変です。使用される様々な専門用語や頭字語に頭を抱え、弁護士や規制当局は、理解してほしくなくてわざと難解な術語を使っているのではないかと感じることさえあるのではないでしょうか。そんな方たちのために少しでもお役に立てるよう、包括的なデータ保護とプライバシーに関する用語集をまとめてみました。
Access Control (アクセス制御)
アクセス制御とは、コンピュータ、ファイル、サービスなどのリソースへのアクセスを、許可されたユーザーだけに制限するプロセスです。
Accountability (説明責任)
説明責任の辞書的定義は、ウェブスター辞典によると、「自分の行動の責任を受け入れるか、または自分の行動を説明する義務または意志」です。GDPR などのデータ保護法で使用される定義は、原則に規定されており、組織が個人データの取り扱いが法律に準拠して行われていることを証明する要求に応じられることを意味します。
Accuracy (正確性)
正確性は、個人データが正確で最新のものであることを義務付けるデータ保護原則です。GDPR では第4原則で、収集または処理される個人データは、「正確かつ必要に応じて最新の状態に保たれている」必要があると規定しています。さらに、GDPR は、「不正確な個人データ」が「遅滞なく消去または修正される」ことを確実にするために、「あらゆる妥当なステップ」がとられなければならないと規定しています。
Active Data Collection (能動的なデータ収集)
能動的なデータ収集とは、Web フォーム、チェックボックス、統計調査などを通じて、ユーザーから意識的かつ透過的にデータを収集することです。
Activity Monitors (アクティビティ監視)
アクティビティ監視は、マシンやネットワーク上のアクティビティを監視することによって疑わしい動作を識別します。
Adequate Level of Protection (適切な保護レベル)
GDPR の下では、「適切な保護レベル」とは、欧州委員会が第三国または国際機関への国境を越えたデータ転送を承認する前に、その第三国または国際機関に対して要求するデータ保護のレベルを指します。
判断を下す際、欧州委員会は、第三国または国際機関のデータ保護規則やセキュリティ対策だけでなく、法の支配、人権の尊重、そしてコンプライアンスとデータ保護規則をどう実施しているかも考慮に入れます。
Advanced Encryption Standard (AES、高度暗号化規格)
RijnDael (ラインダール) とも呼ばれる高度暗号化規格 (Advanced Encryption Standard、AES)は、データ暗号化規格(Data Encryption Standard、DES)の代わりとして2001年に NIST によって選択された暗号化規格です。AES は共通鍵暗号方式(対称鍵アルゴリズム)をとり、データの暗号化と復号化に同じ鍵が使用されます。
Anonymization (匿名化)
データの匿名化とは、個人識別可能データ(PII)を、個人の識別ができなくなるように変更するプロセスです。データセットから特定の識別値を削除したり、識別値を一般化したりすることで実現できます。
Anonymous Data (匿名データ)
匿名データは、識別可能な個人に関連しないデータであり、他のデータと組み合わせて個人を識別することもできません。匿名データは GDPR では保護の対象になりません。
Appropriate Safeguards (適切な保護手段)
GDPR で言うところの「適切な保護手段」とは、データ処理に GDPR のデータ保護原則を適用することを指します。
Article 29 Working Party (第29条作業部会)
第29条作業部会(WP29)は、データ保護とプライバシーに関するEU独立諮問機関でした。GDPR が発効したときに、欧州データ保護委員会(European Data Protection Board、EDPB)に改組されました。
Auditing (監査)
監査とは、コンプライアンスとセキュリティの基準が満たされていることを確認するために、組織の資産を体系的に調査、評価、および分析することです。
Audit Trail (監査証跡)
監査証跡は、監査目的でアクティビティを記録するために使用されるファイル、ログ、または書類の証跡です。
Authentication (認証)
認証とは、提出された ID を検証し、リソースにアクセスしようとするときにアクセス権がある本人であることを証明するプロセスです。
Authenticity (真正性)
真正性とは、情報の妥当性の質であり、情報が正確で変更されていないことを示します。
Automated Processing (自動化された処理)
人間の介入なしに実行されるデータ処理。
Availability (可用性)
可用性、accessibility (アクセシビリティ) とも呼ばれますが、は、組織が必要とする場合、またはデータ主体が要求した場合に、データが即時にアクセス可能になる特性です。GDPR は、データ主体からの要求があれば個人データをデータ主体にアクセス可能にすることを要求しています。
B
Backdoor (バックドア)
バックドアは、セキュリティメカニズムに警戒されることなく、侵入先のシステムに簡単にアクセスできるようにするために攻撃者によってインストールされるツールです。
Binding Corporate Rules (BCR、拘束力のある企業規則)
GDPR の下では、拘束力のある企業規則(BCR)は、世界規模の企業や組織が国境を越えたデータ転送を行うための適切な保護手段です。BCR は、組織全体が同じ一連の拘束力のあるデータ保護基準に従うことを保証します。
Biometric Data (バイオメトリックデータ)
バイオメトリックデータは、指紋、音声、DNA などの身体的特徴に関するデータです。GDPR は、特別な状況を除外して、バイオメトリクスデータの処理を許可しません。
Brazil General Data Protection Law (ブラジル一般データ保護法)
GDPR に触発されて、2018年8月中旬にブラジルで可決された、ブラジルでの個人データの使用と処理を管理することを目的とした新しい法的枠組みである、一般データ保護法。この法律は、プライバシー保護と個人データ保護に関連するおよそ40の現行法律に代わるものであり、個人の権利を保証し、データ収集のための明瞭でトランスペアレントな規則を作成することによって経済成長を促進することを目的としています。ブラジルの一般データ保護法に関するブログをご参照ください。
Breach Disclosure (侵害の開示)
侵害の開示、あるいは侵害の通知とは、インシデントが発生したことを規制当局とデータ侵害の被害者に通知することです。GDPR の第34条は、インシデント発生の72時間以内に影響を受けるユーザーに通知しなければならないと定めています。
Bureau of Consumer Protection (消費者保護局)
不正な商慣行の阻止を任務とする米国連邦取引委員会の事務局。
C
California Consumer Privacy Act (カリフォルニア州消費者プライバシー法)
California Consumer Privacy Act(CCPA、カリフォルニア州消費者プライバシー法)は、カリフォルニアの州レベルのプライバシー法で、2020年から施行されます。米国で最初に承認された州レベルのプライバシー法であるこの法律は、カリフォルニア州居住者から個人データを収集するすべての企業に適用されます。CCPA には、ユーザーが個人データにアクセスする権利や削除を要求する権利などが規定され、GDPR の要件の多くが取り込まれています。
Certification (認証)
認証とは、組織または製品が特定のセキュリティ要件またはコンプライアンス要件を満たしていることを認証機関が宣言したものです。
Certificate-based Authentication (証明書ベースの認証)
SSL と証明書を使用して HTTP トラフィックを認証および暗号化する認証の形式。
Chief Information Security Officer (CISO、最高情報セキュリティ責任者)
情報セキュリティの責任者である組織内の重役。
Chief Privacy Officer (最高プライバシー責任者)
プライバシーに関する法律とポリシーのコンプライアンス管理の責任を担う組織内の重役。
Children’s Online Privacy Protection Act (COPPA) of 1998 (1998年子供のオンライン・プライバシー保護法)
13歳未満の子供を対象とした Web サイトおよびオンラインサービス、ならびに13歳未満の子供から個人情報を収集する Web サイトおよびサービスに適用される連邦法。COPPA は、プライバシーに関する通知と、データ保護のための保護者の同意を必要とすると定めています。
Chinese Cybersecurity Law (CSL、中国のサーバーセキュリティ法)
中国のサイバーセキュリティ法は、2016年に可決され、2017年から施行されている包括的なサイバーセキュリティおよびプライバシー保護法です。この法律は、データのローカライゼーションやセキュリティ担当者の指定など、GDPR と類似する点も多くあります反映しています。しかし、GDPR とは異なり、CSL では、どの会社が準拠しなければならないか、そして正確にはどうすることがコンプライアンスを満たすことになるのかに関する決定を、執行機関がかなりの裁量の幅を持って下せます。CSL についてのブログをご参照ください。
Choice (選択)
プライバシー保護の文脈における選択とは、データ主体がデータ収集に同意するかどうかを自由かつ真に選択できることを意味します。一般データ保護規則のもとでは、暗黙の同意は有効な選択とは見なされません。
Cipher (暗号)
暗号化と復号化に使用される暗号化アルゴリズム。
Cloud Computing (クラウドコンピューティング)
クラウドコンピューティングは、オンプレミスのハードウェアやリソースからではなく、ネットワークを介して情報技術サービスまたはリソースを提供することです。クラウドコンピューティングには、オンデマンド・セルフサービス、幅広いネットワークアクセス、リソースの共用、スピーディーな拡張性、計測可能なサービス、という5つの主要な特徴があります。クラウドのプロバイダは、電気や水道を供給する公共事業のように、必要なリソースやサービスをオンデマンドで提供し、ニーズに合わせて供給量が増減します。クラウド用語集のブログも参考にしてください。
Cloud Service Provider (CSP、クラウドサービスプロバイダ)
クラウドサービスプロバイダは、PaaS、IaaS、SaaS など、クラウドコンピューティング・サービスを提供する会社です。
Codes of Conduct (行動規範)
GDPR では、個人データを国境を越えて転送するための妥当性検証メカニズムとして、行動規範を策定することを奨励しています。行動規範は、拘束力のある企業規則と同様に、データ保護規則へのコンプライアンスを実証するために、業界取引グループなどのデータ管理者または処理者を代表するグループによって策定される規則です。規則はその後、欧州データ保護委員会によって承認または不承認となります。
Confidentiality (機密性)
機密性とは、情報がその使用を許可されている人だけが利用できるという保証です。
Consent (同意)
プライバシー保護の文脈における同意とは、データ主体が個人データの収集および処理を拒否または同意することです。フォームで同意を選択するなどの明示的な同意、エンドユーザー使用許諾契約を容認するといった暗黙的な同意、拒否しないことでみなされる同意、がありますが、多くのデータ保護法では、同意は常に明示的でなければなりません。
Consumer Financial Protection Bureau (CFPB、消費者金融保護局)
消費者金融保護局は、金融業界を監督および規制することを目的として米国連邦準備制度理事会の下に設立された独立局です。CFPB は、金融規制改革法(ドッド・フランク法)に基づき、2011年に設立されました。
Credit Freeze (クレジットフリーズ)
個人情報の盗難を防止するために使用されるセキュリティ対策で、消費者信用報告機関の個人データへのアクセスをロックし、新しいクレジット枠が開かれるのを防ぎます。
Critical Infrastructure (クリティカル・インフラストラクチャ)
クリティカル・インフラストラクチャとは、機能が失われると重大な問題を引き起こすほど重要であると見なされるコンピュータシステムまたはネットワークです。
Cross-border Data Transfers (国境を越えたデータ転送)
国境を越えたデータ転送とは、EU などの1つの法的管轄区域から米国などの別の国への個人データの転送のことです。多くのデータ保護法は、国境を越えたデータ転送に大きな制限を課しています。
Cybersecurity (サイバーセキュリティ)
情報と通信を損傷、悪用、不正使用などから保護する仕組み。
D
Data Breach (データ侵害)
データ侵害とは、機密データまたは個人データに対する不正アクセス、移動、または開示のことです。
Data Breach Notification (データ侵害の通知)
「侵害の開示」に同じ。
Data Brokers (データブローカー)
GDPR は、データブローカーを、個人データを収集して販売するあらゆる事業体と定義しています。
Data Controller (データ管理者)
GDPR によると、データ管理者は、データ処理の方法とその理由を決定する組織、機関、公的機関、または個人です。データ管理者は、データ処理者を兼ねることも、第三者のデータ処理者を使用することも可能です。
Data Encryption Standard (DES、データ暗号化規格)
72兆以上の値のセットからランダムに選択された秘密鍵を使用する一般的なデータ暗号化規格。
Data Integrity (データ整合性)
「整合性」に同じ。
Data Localization (データローカライゼーション)
データローカライゼーションとは、データがその発生元と同じ国または管轄地域に物理的に格納されていなければならないという要件です。これは、GDPR、中国の CSL、ブラジルの一般データ保護法など、最新のプライバシーとデータ保護関連法に共通の要件です。たとえば、GDPR は、EU 在籍者のデータを収集する会社は、そのデータを EU 内のサーバーに格納する必要があります。
Data Loss (データ損失)
偶然の削除、破壊、盗難などによって生ずる、データの偶発的な損失。
Data Loss Prevention (DLP、データ損失防止)
ネットワークからのデータ損失を防ぐために使用される手段またはツールを指す用語。
Data Minimization (データ最小化)
データ最小化とは、データ収集者が、データ処理者が職務を遂行するのに必要な最小限の個人データのみを収集して保持し、不要になった場合はそのデータを削除することを規定するプライバシーの概念です。
Data Portability (データポータビリティ)
データポータビリティは、データ主体がデータ管理者から一般的に使用されている機械読み取り可能なフォーマットで個人データを受け取ることができ、データを他の管理者に転送することを要求することができる権利を有することを意味します。
Data Processing (データ処理)
データ処理は、データの収集、構造化、保存、配布など、個人データまたは個人データのセットに対して実行されるすべての操作です。
Data Processor (データ処理者)
GDPR は、データ処理者を、EU 居住者の個人データを収集、処理、保存、または送信する組織と定義しています。
Data Protection (データ保護)
EU では、データ保護とは、個人データを保護し、そのデータの公正な使用を規定することを目的とした法律や規制を指す法律用語です。米国では、「情報セキュリティ」や「情報プライバシー」などの用語と互換的に使用されることが多い一般的な用語です。
Data Protection Authority (データ保護当局)
データ保護当局(DPA)は、EU の一般データ保護規則に基づいて監督し、規制を執行するために設立された独立した公的機関です。各EU加盟国には独自の DPA があります。
Data Protection Officer (データ保護責任者)
データ保護責任者(DPO)は、GPDR コンプライアンスについて組織に助言を行い、データ保護当局と連絡を取り合う責任がある、組織内の個人です。業務上、個人データを処理する必要がある組織は、DPO を任命する必要があります。
Data Protection Principle (データ保護の原則)
データ保護法には、データ保護の原則が明示されていることが一般的です。GDPR の場合は、第5条に、正当で規則に準じた明確なプロセス、目的の限定、必要な最小限データ、正確性、保管制限、完全性と機密性、説明責任の7つのデータ保護の原則が規定されています。
Data Subject (データ主体)
データまたはデータセットに付随する個人。
Data Theft (データ窃盗)
情報を盗む行為。
Decryption (復号化)
復号化とは、暗号化されたメッセージを平文に変換することです。
Disaster Recovery Plan (災害復旧計画)
災害復旧計画は、災害発生時のITシステムとデータの復旧プロセスを実装するための計画です。
Disclosure (開示)
データ保護の文脈では「侵害の開示」に同じ。
Due Diligence (デューデリジェンス)
デューデリジェンスは、組織がデータを保護し、詐欺を防止し、データ侵害が発生したときにそれを検出するための計画を維持する義務を意味します。
E
Electronic Medical Records (EMR、電子カルテ)
医療機関のオフィスで収集された標準的な医療および臨床データを含む電子化された記録。
Electronic Health Records (HER、電子健康記録)
医療提供者のオフィスで収集されたデータを超えた、患者の履歴情報を含むより包括的なコンピュータ記録。EHR は複数の医療提供者または医療機関で共有することができます。
Encryption (暗号化)
暗号化とは、平文データを暗号文と呼ばれる保護された形式に変換することで、元のデータの意味を隠します。HIPAA や GDPR を含めて、複数のデータ保護法で暗号化が必要とされています。
End-User License Agreement (EULA、エンドユーザー使用許諾契約書)
エンドユーザー使用許諾契約書は、ソフトウェアアプリケーションの所有者とそのアプリケーションのユーザーとの間の契約として機能する法的文書です。EULA には、支払い契約、ソフトウェアの使用制限、データ収集への同意が含まれる場合があります。
Erasure (消去)
個人データを消去する行為。GDPR の第17条は、データ主体は、データ処理の法的根拠がデータ主体の同意である場合、データが本来の目的のために必要ではなくなった場合、またはデータが違法に処理された場合に、個人データの消去を要求する権利があると規定しています。ブラジルの一般データ保護法のような他のデータ保護法も、消去の権利に関する GDPR の規定に準じています。
EU-US Privacy Shield (EU-US プライバシーシールド)
EU-US セーフハーバー協定に代わるものとして、2016年に作成された米欧間の越境データ移転に関する協定です。EU-US プライバシーシールドにより、米国連邦取引委員会の管轄下にある参加組織は、個人データを EU から米国に転送することができます。
European Data Protection Board (欧州データ保護委員会)
欧州データ保護委員会は、GDPR によって設立された監督当局です。委員会は、EU 加盟国の監督当局の長と欧州データ保護監督官で構成されています。EDPB の目的は、加盟国による GDPR の一貫した適用を確実にすることです。
European Data Protection Supervisor (欧州データ保護監督官)
ヨーロッパの組織および加盟国が GDPR のプライバシー規則を確実に遵守することを目的とした独立機関。
Event (イベント)
コンピュータシステムまたはネットワーク内で観察可能な出来事。
Exfiltration (エクスフィルトレーション)
コンピュータまたはネットワークからのデータの不正な転送。
Exploit (エクスプロイト)
ネットワークを侵害するために使用されるツールまたはテクニック。エクスプロイトは通常、ネットワークやセキュリティの脆弱性を悪用します。
F
Firewall (ファイアウォール)
不正アクセスを防ぐためにネットワークに設置された通過阻止ポイント(防火壁)。
Federal Communications Commission (FCC、連邦通信委員会)
連邦通信委員会(FCC)は、放送通信および電気通信を規制する米国連邦政府機関です。
Federal Information Security Management Act (FISMA、連邦情報セキュリティ管理法)
2002年連邦情報セキュリティ管理法(FISMA)は、連邦機関が政府機関の業務とデータを保護するために、連邦政府機関や連邦政府機関から業務委託を受けている外部委託先に、情報セキュリティプログラムを実施することを義務付ける米国連邦法です。政府機関に対してセキュリティプログラムの年次監査を実施し、連邦管理予算局に報告書を提出することを義務付けており、報告書は後に議会に提出されます。FISMA は、2014 年に、FISMA 2014 または FISMA リフォームと呼ばれる連邦情報セキュリティ最新化法 (Federal Information Security Modernization Act) に改正されました。
Federal Privacy Act 1988 (1988年連邦プライバシー法)
1988年連邦プライバシー法は、個人情報の取り扱い方法を規制するオーストラリアの法律です。GDPR のような現代のプライバシー保護法に先行する、注目に値する法律です。概要をまとめたブログを参照してください。
G
Gateway (ゲートウェイ)
ゲートウェイは、別のネットワークやインターネットへの入り口として機能するネットワークポイントです。
General Data Protection Regulation (GDPR、一般データ保護規則)
一般データ保護規則(GDPR)は、欧州連合の加盟国28カ国すべてに適用される統括的なデータ保護法です。
GDPR の目的は、データ保護のための厳しい水準を設定し、EU 全体に適用される単一の統合されたデータ保護規則を提供することです。GDPR には99の条文があり、データ保護の基本的な権利が規定されています。通知を受ける権利、アクセスする権利、修正する権利、消去する権利/忘れられる権利、処理を制限する権利、データポータビリティの権利、異議を訴える権利、自動意思決定とプロファイリングに関する権利などです。
GDPR の規則は、EU に拠点があるかどうかにかかわらず、EU 在籍者の個人データを処理するすべての組織に適用されます。GDPR は、データ管理者またはデータ処理者によって処理される EU 在籍者の個人データに適用され、組織は7つのデータ保護の原則を遵守しなければなりません。違反した場合の制裁金は、最高2,000万ユーロ、または世界全体での年間売上高の4%のいずれか高い方の額に達します。GDPR の詳細については、「ファイル転送とGDPR」というホワイトペーパーが参考になります。
H
Hacker (ハッカー)
ハッカーとは、技術的な手段でコンピューターのセキュリティを侵害する個人のことです。
Health Breach Notification Rule (健康データ侵害通知規則)
健康情報のセキュリティが侵害されたとき個人健康記録のベンダーはそれを通知しなければならないという、HITECH に規定された規則。
Health Information Technology for Economic and Clinical Health Act (HITECH、経済的および臨床的健康のための健康情報技術法)
経済的および臨床的健康のための健康情報技術法(HITECH)は、2009年のアメリカの回復および再投資法の一部として制定されたアメリカの法律です。HITECH は、HIPAA で規定されている医療のセキュリティとプライバシーの要件を基にして、データ侵害通知規則を規定し、コンプライアンス違反に対する段階的な金銭的ペナルティーなどを定めています。
Health Insurance Portability and Accountability Act (HIPAA、医療保険の相互運用性と説明責任に関する法律)
医療保険の相互運用性と説明責任に関する法律は、HIPAA という略称で呼ばれることが多いですが、電子医療記録の転送に関する国内基準と規制を定めたアメリカの法律です。HIPAA の下では、医療情報を他の組織と共有するには、事前に患者本人から承諾を得る必要があります。
I
Identity (アイデンティティ)
一般には自己同一性などと訳されますが、データ保護の文脈では本人であるという確証という意味合いで使われます。
Identity Theft (アイデンティティ窃盗)
他人の個人識別可能情報を盗むこと、およびその情報を金銭的利益のために不正に使用すること。
Incident (インシデント)
状況を悪化させるネットワーク・イベント。
Incident Response (インシデント対応)
セキュリティまたはデータ損失のインシデントに対応するために取られる手順。
Information Security Policy (情報セキュリティポリシー)
組織における情報資産を管理および保護するために従うべき情報セキュリティ対策を総合的、体系的にまとめたもの。
Insider Threat (インサイダー脅威)
組織のネットワークまたはリソースへの内部アクセスを持つ個人によるセキュリティ脆弱性の悪用やデータ窃盗などの脅威。
Integrity (完全性)
データ完全性は、情報が変更されておらず、正確かつ完全であるという保証です。GDPR は、データ管理者とデータ処理者がデータ完全性を保証する手段を実装することを義務付けています。
Internet Service Provider (ISP、インターネットサービスプロバイダ)
インターネットおよび関連サービスへのアクセスを提供する事業者。
ISO 20022
2004年に公開された ISO 20022 は、金融メッセージのスタンダードを開発するための ISO プラットフォームを定義するオープンな国際規格です。この規格は、単一の組織によって管理されることはありません。どの金融機関も参与可能で、自由にインプリメントできます。金融メッセージのスタンダードを作成するために使用できる、確立されたメンテナンス、ガバナンス、エボリューションのプロセスを備えています。詳細はブログを参照してください。
L
Least Privilege (最小特権)
最小特権は、業務を遂行するのに必要な最小限の権限のみを与えられるようにすることを義務付けるセキュリティ原則です。
Legal Basis for Processing (処理の法的根拠)
GDPR は、データ管理者がデータ処理の法的根拠を実証することを義務付けています。GDPR に記載されている6つの処理の法的根拠は、同意、必要性、契約要件、法的義務、データ主体の保護、公共の利益、または管理者の合法的な利益です。
M
Malware (マルウェア)
コンピュータまたはコンピュータネットワークに侵入することを目的とした、さまざまな種類の悪意のあるソフトウェアの総称。
Markets in Financial Instruments Directive II (MiFID II、金融商品指令IIの市場)
MiFID II は、MiFID の範囲を拡張し、注文が最初に出されてから完了するまで、取引のすべての段階で透明性を確保するよう求めています。すべての取引はすべてのフェーズで厳重に監視する必要があります。
Meaningful Use (意味のある使用)
HITECH では、意味のある使用は、品質、安全性、効率を改善し、健康格差を減らすために、認定された電子健康記録(EHR)技術を使用することです。患者と家族も参与します。ケアの調整と公衆衛生を改善するために使用し、患者の健康情報のプライバシーとセキュリティを維持することが求められます。
Metadata (メタデータ)
メタデータは他のデータを記述するものです。
Multi-Factor Authentication (MFA、多要素認証)
複数の検証要素を必要とする認証プロセス。ログイン時に、ユーザー名とパスワードの組み合わせに加えて、SMS コードの検証を行う、などがその例です。
N
National Institute of Standards and Technology (NIST、アメリカ国立標準技術研究所)
アメリカ国立標準技術研究所(NIST)は、測定標準の推進と維持を担当する米国商務省の部門であり、連邦政府向けのセキュリティ標準とガイドラインを制定しています。
Negligence (過失)
過失は、個人情報を保護する法的義務違反です。
Non-Repudiation (否認防止)
否認防止とは、特定のユーザーだけがメッセージを送信したこと、およびメッセージやデータが変更されていないことをシステムが証明できることです。
O
Opt-In (オプトイン)
企業がメール送信や個人情報の収集などを行うための事前承諾を必要とする場合、個人が第三者と情報を共有する意思があることを明示すること。ボックスにチェックマークを付けるなど、積極的な選択である必要があります。
Opt-Out (オプトアウト)
オプトインの反対です。オプトアウトでは、第三者が情報を共有する意思があることを示すボックスのチェックを外さないなどの「行動の欠如」は、選択が行われたことを意味すると想定しています。
P
Passive Data Collection (パッシブデータ収集)
パッシブデータ収集は、エンドユーザーの知識があってもなくても自動的に情報を収集するデータ収集手法です。
Password (パスワード)
ユーザーが本人であることを認証する固有のコード。
Patching (パッチ適用)
パッチ適用は、多くの場合セキュリティ上の欠陥に対処するために、ソフトウェアを別のバージョンに更新するプロセスです。
PCI Data Security Standard (PCI DSS、PCI データセキュリティスタンダード)
PCI データセキュリティスタンダード(PCI DSS)は、クレジットカード情報や取引情報を保護するために、ペイメントカード業界セキュリティスタンダード協議会によって作成されたセキュリティ基準です。コンプライアンスにはサードパーティーのセキュリティ評価が必要です。
Personal Data (個人データ)
識別された、または識別可能な自然人に関する情報で、検索可能なデータベース等を構成するデータ。
Personal Identifiable Information (PII、個人識別可能情報)
個人のアイデンティティが類推できる情報。
Phishing (フィッシング)
ユーザーをだまして、にせの Web サイトに認証情報を入力させたり、悪質なサイトへのリンクをクリックさせたり、マルウェアが仕掛けられたファイルをダウンロードさせたりしようとする試み。フィッシング攻撃は多くの場合、信頼できる送信元から送信されたように見える電子メールの形式を取ります。
Plaintext (プレーンテキスト)
レイアウト情報や装飾情報、制御文字などを含まない、人間が読むことのできるテキスト。
R
Ransomware (ランサムウェア)
感染した PC をロックしたり、ファイルを暗号化したりすることによって、ユーザーのシステムへのアクセスを不能にし、制限を解除して元に戻すために身代金(ランサム)を要求するマルウェア。
Redundancy (冗長性)
データ保護の文脈では、メインシステムに障害が発生した場合でも機能を維持できるバックアップシステムを備えていることを指します。
Retention (保持)
プライバシー保護の立場では、組織が情報を保持できるのはそれが適切である場合だけに限られるべきであるという考え方を含意します。
Right of Access (アクセスする権利)
企業や組織に対して自分の個人データを要求したり受け取ったりできる個人の権利。
Right to be Forgotten (忘れられる権利)
自分の個人データを、そのデータを所有または管理している企業や組織に削除させることができる個人の権利。
Right to Correct (修正する権利)
自分自身に関する不正確な情報を修正することができる個人の権利。
Right to Erasure (消去する権利)
「忘れられる権利」に同じ。
Risk Assessment (リスクアセスメント)
リスクアセスメントは、リスクを特定し、それらのリスクの影響を判断するためのプロセスです。
S
Sarbanes-Oxley Act (SOX、サーベンス・オクスリー法)
SOX の略称で知られるサーベンス・オクスリー法は、エンロン事件などの企業会計不祥事を規制するために制定された、詐欺や内部告発者に関して、企業の透明性を規制する米国の法律です。
Secure Shell (SSH、セキュアシェル)
ネットワークを介して別のコンピュータにログインし、リモートマシンでタスクを実行し、あるマシンから別のマシンにファイルを転送するために使用されるプログラム。
Secure Sockets Layer (SSL、セキュアソケットレイヤ)
インターネットを介して個人データやファイルを転送するために開発されたプロトコル。SSL は公開鍵を使用してデータを暗号化し、そのデータは SSL 接続を介して送信されます。
Security Incident (セキュリティ・インシデント)
「インシデント」に同じ。
Security Perimeter (セキュリティ境界)
セキュリティ管理が実施される境界。
Sensitive Information (機密情報)
機密情報とは、連邦政府による定義では、漏洩した場合、国の利益または連邦政府のイニシアチブの実施に悪影響を及ぼす可能性がある未分類の情報です。
SHA-1
セキュアハッシュアルゴリズム1の略号で、一方向暗号化ハッシュ関数。
Simple Network Management Protocol (SNMP、簡易ネットワーク管理プロトコル)
ネットワーク管理とネットワークデバイスの監視を管理するプロトコル。
Single Sign-On (SSO、シングルサインオン)
ユーザーが1セットの資格情報を使用して複数のサービスやツールにログインできるようにする認証ツール。
Social Engineering (ソーシャルエンジニアリング)
嘘、偽装した不正な指示、脅迫、機密情報にアクセスするという脅威などの操作で、人間の心理的な隙や行動のミスにつけ込んで個人の秘密情報を入手する方法。
Spam (スパム)
電子ジャンクメール。
Spear Phishing (スピアフィッシング)
特定の個人、通常機密の資格情報を持つ個人を標的としたフィッシング攻撃です。
T
Threat (脅威)
セキュリティを脅かす可能性のあるあらゆる行為や事象。
Threat Assessment (脅威アセスメント)
組織への脅威がどういった種類のものなのかを詳細に分析して判断するプロセス。
Threat Vector (脅威のベクトル)
脅威がターゲットに到達するまでの伝搬チャネル。
Transport Layer Security (TLS、トランスポート層セキュリティ)
サーバーとクライアント間の接続を保護するプロトコル。TLS は SSL の後継です。
Two-Factor Authentication (2FA、二要素認証)
「多要素認証」のうち、2つの検証要素を必要とする認証プロセス。
U
US-CERT
US-CERT (Computer Emergency Readiness Team) は、米国国土安全保障省と公的部門および民間部門の組織との間のパートナーシップです。US-CERT はセキュリティの問題と脆弱性を追跡し、ベンダーと協力して脆弱性に対するパッチをリリースします。
V
Vulnerability (脆弱性)
システムまたは組織を攻撃するために使用される可能性のある欠陥または弱点。