プライバシーフレームワーク(NIST PF)を現行の1.0版から1.1版へと改訂を進めている米国国立標準技術研究所(NIST)は4月14日、NIST PFの初期公開草案(以下、1.1版ドラフト)を公表し意見の募集を始めました。意見の受け付けは6月13日まで。
NIST PFは組織がプライバシーリスクを効果的に管理し、個人のプライバシーを保護しながら製品やサービスの開発や運用を行えるよう支援するフレームワークであり、2020年1月に1.0版が公表されました。NIST Cybersecurity Framework(NIST CSF)との整合性を持ち、NIST PFはNIST CSFと併用することで効果が高まるツールとなります。
1.0版から1.1版へと改訂が進められている背景には、NIST CSFが2024年2月に1.1版から2.0版へと改訂されたことや、2023年1月にNIST AI RMF(AIリスクマネジメントフレームワーク)が策定されたこと、2020年の初版から5年が経過しNIST PFに求められる内容に変化が生じたことがあります。
NIST CSF2.0と整合性を持たせるため1.1版ドラフトには5つあるコア(機能)に紐づくカテゴリーの中に「GV.OV-P」や「PR.PS-P」といったカテゴリーが新設されました。「GV.OV-P」は機能「統治(GOVERN)」にあるカテゴリー「監督(Oversight)」、「PR.PS-P」は機能「防御(Protect)」にあるカテゴリー「プラットフォーム」となります。なお、「監督」とは、組織全体のプライバシーリスクマネジメントの活動をチェックし、必要に応じてリスクマネジメント戦略を改善する仕組みといえます。監督やプラットフォームはCSF2.0にもあるカテゴリーとなります。ほかにも例えばサブカテゴリーが3つだった「GV.RM」(リスクマネジメント戦略)は7つまでになりました。
NIST AI RMFも反映されています。具体的には、1.2.2に「Artificial Intelligence and Privacy Risk Management」(人工知能とプライバシーリスク管理)が追記されました。AIライフサイクル全体にわたるデータ処理に起因するプライバシーリスクを特定し管理するために役立つよう追記されました。AIシステムに関するプライバシーリスクとして、個人の同意なしに収集されたデータでAIシステムが訓練されたり、不十分なプライバシー保護策が導入されたりしている場合などについて言及されています。
1.1版ドラフト版ではNIST CSF2.0にもある「GV.RR-P」(Roles, Responsibilities, and Authorities=役割、責任、権限)が新設されています。これによってAIのプライバシーリスクのリスクマネジメントを実効性のあるものにできるほか、同じく新設された「GV.MT-P」(Monitoring and Review=モニタリングとレビュー)に取り組むことで、ポリシーを定期的に見直し更新することにつながるなどとと、急速に進化するAIに対応することができるとされています。
