BLOGTIMES
2021/11/14

Need-to-know 原則 (need-to-know basis)

  言葉  english 
このエントリーをはてなブックマークに追加

先日、会議で NDA に良く出てくる Need-to-know 原則 (need-to-know basis)について発言したら、イマイチ通じなかったので、国内ではイマイチ浸透していない単語なのかと思っていろいろ調べてみました。

ちなみに need-to-know basis というのは以下の平成十二年(2000 年)の防衛庁の資料にもあるとおり、「情報は知る必要のある人のみに伝え、知る必要のない人には伝えない」という原則」です。この資料にもあるとおり、情報セキュリティの用語としては昔から国内でも使われているようです。

防衛庁, "秘密保全体制の見直し・強化について ," 秘密保全等対策委員会報告書, p.4, 平成12年10月27日.

情報漏えいのリスクを不必要に高めることを防止するため、いわゆる「need to knowの原則」(「情報は知る必要のある人のみに伝え、知る必要のない人には伝えない」という原則)を徹底し、関係職員の指定に当たっては、秘密に関する事務を行う者として相応しい者を厳正に峻別・限定し、必要最小限の指定にとどめる。

英英辞典

有名どころの英英辞典には掲載されていますね。

情報処理技術者試験

「情報セキュリティマネジメント試験(レベル2)」シラバス(Ver.3.2)には人的セキュリティ対策の欄に「need-to-know(最小権限)」という記載があるのが確認できます。
上位資格となる「情報処理安全確保支援士試験(レベル4)」シラバス(Ver.2.0)にも、3-8 アカウント管理及びアクセス管理の項目に「need-to-know,need-to-use,最小権限の原則に関する知識」と記載があります。


    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/12856
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン