プライバシーを考慮したソフトウェア開発技術の文献に基づく動向調査
櫨山淳雄
1鷲崎弘宜
2吉岡信和
3海谷治彦
4大久保隆夫
5 1東京学芸大学 2早稲田大学 3国立情報学研究所 4神奈川大学 5情報セキュリティ大学院大学 概要: 情報通信技術の利用環境の進展に伴い,ソフトウェアの開発においてプライバシーを考慮 することが求められている.しかしながら現状ではそのための知識が体系化されていない.本稿 では知識体系化に向け,文献調査により,プライバシーを考慮したソフトウェアの開発に必要な 知識を扱った研究動向を紹介する.Literature Survey on Technologies for Developing Privacy-aware Software
Atsuo Hazeyama
1Hironori Washizaki
2Nobukazu Yoshioka
3Haruhiko Kaiya
4Takao Ohkubo
51Tokyo Gakugei University 2Waseda University 3National Institute of Informatics 4Kanagawa University 5Institute of Information SECurity (IISEC)
Abstract: Software development that takes privacy protection into consideration is required with the
progress of information and communication environments. However, a body of knowledge is not formulated for developing privacy-aware software. This paper introduces studies that address knowledge regarding development of privacy-aware software based on literature survey toward building a knowledge base for privacy-aware software development.
1. はじめに
クラウドコンピューティングや高機能携帯端末の 普及により,誰でも手軽にディジタル情報を発信す ることが可能になってきた.その一方で,個人情報 漏えいの危険性が高まっている. システム開発者は,システムの問題により,個人 情報の漏えいが発生することを防がなければならな い.このような背景から,近年プライバシーを開発 の 初 期 か ら 考 慮 し て 取 り 組 む 必 要 が う た わ れ , Privacy by Design (PbD) [16]と呼ばれている.しかし, システム開発者はプライバシーの専門家ではなく [1],体系化した知識が求められるが,現状では,プ ライバシーを考慮したソフトウェア開発に関する知 識は体系化されていない. そこで,本論文でプライバシーを考慮したソフト ウェアを開発するための知識体系化に向けた一歩と して,文献調査によりプライバシーを考慮したソフ トウェアの開発に必要な知識を扱った研究動向を報 告する.2. プライバシー特性とメタモデル
Westin [23] によれば,プライバシーとは,個々人 が自分の情報について,制御 (control), 編集 (edit), 管理 (manage), 削除 (delete)でき,情報が他者といつ, どのように,どの範囲で交わされるのかを決定する ことができることとしている. プライバシー特性として,Deng らは“unlinkability,” “anonymity,” “pseudonymity,” “plausible deniability,” “undetectability and unobservability,” “confidentiality,” “content awareness,” “policy and consent compliance”を 挙げている [7].Unlinkability は 2 つ以上のアクショ ン,アイデンティティ,情報間のリンクを隠すこと と述べている.Anonymity はアイデンティティと, アクションや情報間のリンクを隠すことと述べてい る. Pseudonymity は識別子として偽名を使うことと 述べている.Plausible deniability は他の団体が確認も 否定もできないアクションを実行したということを 否 定 す る 能 力 の こ と で あ る . Undetectability and unobservability はユーザの活動を隠すことである. Confidentiality はデータの内容を隠すことである. Content awareness はユーザが自分の個人情報を意識 づけ,必要最小限の情報のみを提供することを意味 する.Policy and consent compliance はシステム全体 としてデータの主体に対して,システムのプライバ シーポリシーを伝えたり,データの主体が同意を規 定することができることを求めるものである.また,Pris 方法論 [11]では,プライバシーゴール と し て “authentication,” “authorisation,”
“identification,” “data protection,” “anonymity,” “pseudonymity,” “unlinkability,” “unobservability”を列 挙している.
さらに,OASIS Annex Guide to Privacy by Design Documentation for Software Engineers では,ユーザレ ベルとシステムレベルの 2 レベルのプライバシー特 性を提 唱している [16].ユーザレベルでは7 Cs (comprehension, consciousness, choice, consent, context, confinement, and consistency)を,システムレベルでは ATOIL (auditability, traceability, observability, identifiability and linkability)を示している.
鷲崎らはクラウドサービスのためのシステム及び ソフトウェアのセキュリティとプライバシーの両方 を扱う知識及び参照アーキテクチャに共通なメタモ デルを提案している [22].このメタモデルはコアパ ッケージとクラウドサービスを扱う階層固有のパッ ケージから構成されている.本論文では,コアパッ ケージのメタモデルに基づいて,プライバシー技術 を整理,各々の概要を紹介する. 図 1 鷲崎らによるクラウドサービスの開発と運用 においてセキュリティとプライバシーを扱うための メタモデル (コアパッケージ) [22]
3. プライバシーを考慮したソフトウェア
の開発技術に関する知識
3.1 文献収集方法
はじめに文献収集手順を述べる.Google Scholar を 用 い , 検 索 キ ー ワ ー ド と し て“Privacy pattern,” “Privacy requirement,” “Privacy Enhanced Technology (PET),” “Privacy by Design (PbD)”と入力し,検索結果 から関連しそうな論文とその参考文献を読んだ. 以下では,収集の結果得られたメタモデルの方法 論・プロセス,原則 (principle),ガイドライン,パ ターン(図 1 の赤枠で囲ったクラス群)に対する研究 事例の概要を紹介する. 本論文では,方法論を手法 (概念や表記法等)と手 順(プロセス)を含むものと定義する.原則とガイド ラインは Barnum と McGraw の定義 [2]に従う.いず れも規範的 (prescriptive)な知識であり,その違いは 抽象度によるもので,原則がより抽象的で哲学的 (philosophical)で,ガイドラインはより具象的である. パターンは[17]による定義「共通のプライバシーに 対する設計の解決策であり,PbD をソフトウェア開 発の実践的アドバイスに変換するもの」に従う.3.2 方法論・プロセス
方 法 論 ・ プ ロ セ ス と し て , Pris 方 法 論 [11], LINDDUN [7],PMRM [20],PREprocess [18],PEAR [12]などが発表されている.また,方法論を比較し た報告 [3], [14]もある.以下では,いくつかの方法 論・プロセスを発表年順に紹介する. 3.2.1 Pris 方法論 Pris 方法論はプライバシー要求を組み込んだセキ ュ リ テ ィ 要 求 工 学 手 法 で あ る [11] . Enterprise Knowledge Development (EKD)を基にした概念モデ ルを示している.そして,プライバシー要求抽出の ために,以下に示す 4 つのステップから構成される 手順を提案している. (a) プライバシー関連目標の獲得 (b) 組織プロセスに関するプライバシー目標の影響 の分析 (c) プライバシープロセスパターンを使った影響を 受けるプロセスのモデル化 (d) 上述のプロセスを最もよく支援/実装する技法の 識別 また,プライバシー目標に対応する 7 つのプロセ スパターン (後述)を示している. 3.2.2 LINDDUN 方法論 Deng らは STRIDE に基づくセキュリティの脅威 モデリングを参考に,プライバシー要求獲得のため の方法論 LINDDUN 方法論を提案している [7].こ の方法論は以下のステップから構成される. 1. DFD の定義 2. プライバシー脅威を DFD 要素にマッピング 3. ミスユースケースシナリオの識別 4. リスクに基づく優先順位付け 5. プライバシー要求の獲得 6. プライバシー強化・解決策の選択 また,プライバシー特性と後述する 17 個の脅威木 パターンカタログを示している. この方法論について,[25]に詳細な解説があるの で参考にされたい. 3.2.3 PMRM PMRM は,プライバシー管理のためのプロセスを 提示している [20].それは 6 つのフェーズ,それを構成するサブフェーズ,20 のタスクから構成されて いる.また,タスクに対してそのアウトプットの具 体例が示されている.6 つのフェーズは次のとおり である: 1. ユースケース記述とハイレベルなプライバシー 分析の開発 2. 詳細なプライバシー分析の開発 3. プライバシー制御を支援するために必要な機能 サービスの識別 4. 選択されたサービスを支援する技術的な機能性 とビジネスプロセスの定義 5. リスクとコンプライアンスアセスメントの実施 6. 繰り返し 例えばフェーズ「2. 詳細なプライバシー分析の開 発」には「参加者とシステム,ドメインとドメイン オーナ,役割と責任,タッチポイントとデータフロ ーの識別」,「ユースケースプライバシードメインと システムにおける個人情報の識別」,「個人情報に関 連付けられたプライバシー制御の規定」の 3 つのサ ブフェーズがあり,サブフェーズ「ユースケースプ ライバシードメインとシステムにおける個人情報の 識別」には 3 つのタスク「入力される個人情報の識 別」,「内部的に生成される個人情報」,「出力される 個人情報の識別」が示されている.対象とする工程 は機能設計までの上流工程である. 3.2.4 PEAR Kung は PEAR と呼ぶ PbD のためのアーキテクチ ャ設計方法論を提案している [12].それは次の 4 つ のステップから構成されている. (1) 機能プライバシー要求と品質属性プライバシー 要求の抽出 (2) PbD のための方策 (tactics)の検討:4 つの方策を あ げ て い る (minimization, enforcement, accountability, modifiability) (3) 方策とアーキテクチャパターンの対応付け:3 つ の パ タ ー ン を 例 示 し て い る :“use data confinement pattern,” “hippocratic management pattern,” “isolation pattern”
(4) プライバシーアーキテクチャの分析と評価
3.3 原則 (Principle)
原則は,Cavoukian がプライバシーのための原則 とソフトウェア開発者に向けた原則を示している. また,Hoepman が原則に類似の privacy design strategy という概念を提唱している.
3.3.1 Cavoukian の 7 つの Principle
Cavoukian はプライバシーのための 7 つの principle を 提 唱 し て い る [4] : “Proactive Not Reactive; Preventative Not Remedial,” “Privacy as the Default Setting,” “Privacy Embedded into Design,” “Full
Functionality - Positive-Sum, not Zero-Sum,” “End-to-End Security Full Life-Cycle Protection,” “Visibility and Transparency - Keep it Open,” “Respect for User Privacy - Keep it User-Centric.”
3.3.2 PbD-SE
[5] は , [4] が 提 唱 し た 各 Principle に 対 し て Sub-principle に詳細化し,Sub-principle とガイドライ ン (項目は Documentation となっている)を関連付け ている.一例として,Principle “Privacy Embedded into Design”に対する Sub-principle とガイドラインの対応 を表 1 に示す.
表 1 PbD-SE の Sub-principle とガイドラインの対応
Sub-principle ガイドライン
3.1–Holistic and Integrative:
Privacy commitments must be embedded in holistic and integrative ways.
3.2–Systematic and Auditable:
A systematic approach should be adopted that relies upon accepted standards and process frameworks, and is amenable to external review.
3.3–Review and Assess: Detailed
privacy impact and risk assessments should be used as a basis for design decisions.
3.4–Human-Proof: The privacy
risks should be demonstrably minimized and not increase through operation, misconfiguration, or error.
SHALL use the OASIS PbD-SE Privacy Use Template or the more comprehensive OASIS PMRM methodology or equivalent for identifying and documenting privacy requirements
SHALL contain description of its business model showing traceability of personal data flows for any data collected through new software services under development.
SHALL include identification of privacy design principles SHALL contain a privacy architecture
SHALL describe privacy UI/UX design
SHALL define privacy and security metrics
SHALL include human sign-offs/privacy checklists for software engineering artifacts SHALL include privacy review reports (either in reviewed documents or in separate report) 3.3.3 Privacy design strategy
Hoepman は,privacy design strategy という概念を 提唱し,それとデザインパターンの関係を明らかに している [10].Minimize, Hide, Separate, Aggregate, Inform, Control, Enforce, Demonstrate の 8 つの privacy design strategy を提唱している.
3.4 ガイドライン
ガイドラインとして,Spiekermann と Cranor のガ イドラインと,ソフトウェア開発者のための文書化 のガイドラインについて述べる. 3.4.1 Spiekermann と Cranor によるガイドライン Spiekermann と Cranor はプライバシーフレンドリ ーなシステム開発のためのガイドラインを提示して いる [21]. ユーザのプライバシーの関心事について 3 つの領域モデル (ユーザ領域,受取人領域,共同領域) を提案し,このモデルとシステムのオペレーショ ン (データの転送,保管,処理)を関連付けた
プライバシーを設計するための 2 つのアプロー
チを示している
Privacy-by-policy:Fair Information Practice (FIP) の原則「気づきと選択 (notice and choice)」の 実装に着目している Privacy-by-architecture:識別可能な個人情報の 収集を最小限にし,匿名化とクライアントサ イドでのデータの保管と処理を強調している プライバシーフレンドリーなシステムを設計す るための枠組を提案している.この枠組では,プ ライバシーを 4 つの段階に分け,それぞれに対し て,identifiability,プライバシー保護へのアプロ ーチ,データの linkability に関するシステムの特 徴をまとめている 3.4.2 ソフトウェア開発者のための文書化のガイド ライン 文献 [16]では,Privacy by Design に基づいて,ソ フトウェア開発者のための文書化のガイドラインを 提供している.この文書では,UML のダイアグラム に対してプライバシーの関心事を表記する提案をし ている.ユースケース図に,プライバシー特性 (も しくは原則)を表記するコンテナを導入し,それをア クターとユースケースの間に配置し,その間に関連 を結ぶことにより,どのアクターが,どの機能に対 して,どのようなプライバシー特性 (原則)を考慮す べきかを陽に表現可能にしている.また,アクティ ビティ図にオブジェクトや原則を表記すること,シ ーケンス図上でプライバシーに関するチェックを行 うことを表記することを提案している.
3.5 パターン
プライバシーパターンは,要求パターン,設計パ ターン,UI パターン,プライバシーポリシーパター ン,プロセスパターンに関する事例が数多く報告さ れている.以下に種別ごとに紹介する. 3.5.1 要求パターン 文献 [24]は mobile OS 上で動くアプリケーショ ンがプライバシーを保護するための機構を開発する た め の 7 つ の 要 求 パ タ ー ン を 提 案 し て い る : “Authorized use of sensors or portals,” “Avoidance of privacy linkage in user behavior information collection,” “Guard for personal mobile data,” “Privacy protection over mobile cloud services,” “Authentication of mobile users,” “Financial information protection,” “Mobile communication secrecy.”3.5.2 脅威木パターン
文献 [7]は LINDDUN 方法論の中で 17 個の脅威木 パターンカタログを提案している: “Linkability of entity,” “Linkability of data flow,” “Linkability of data store,” “Linkability of process,” “Identifiability of entity,” “Identifiability of data flow,” “Identifiability of data store,” “Identifiability of process,” “Non-repudiation of data flow,” “Non-repudiation of data store,” “Non-repudiation of process,” “Detectability of data flow,” “Detectability of data store,” “Detectability of process,” “Information disclosure of data flow, data store, and process,” “Content unawareness of entity,” “Consent and policy noncompliance of the system (data flow, process, and data store).”
3.5.3 設計パターン
Hafiz は PET 開発のために 12 個のプライバシーパ ターンのカタログを開発した [9]: “Pseudonymous identity,” “Anonymity set,” “Chaining,” “Morphed representation,” “Layered encryption,” “Constant length padding,” “Batched routing,” “Random wait,” “Link padding,” “Random exit,” “Oblivious transfer,” “Cover traffic.”
3.5.4 UI パターン
[8]は PET のための UI パターンを提唱している. “Secure Passwords,” “Informed Consent,” “Privacy Aware Wording,” “Credential Selection,” “Privacy Policy Display,” “Dynamic Privacy Policy Display,” “Policy Matching Display,” “Privacy Icons,” “Icons for Privacy Policies,” “Privacy Awareness Panel in Collaborative Workspace.”
3.5.5 Web ベースの活動に対するパターン
[19]は,Web ベースの活動に対する 3 つのプライ
バシーパターンを提案している:“Informed consent
for web-based transactions,” “Masked online traffic,” “Minimal information asymmetry.”
3.5.6 Privacy policy パターン
[13]はプライバシーポリシー策定のための 7 つの パターンを提案している:“Privacy policy definition,” “Visible privacy policy,” “Privacy policy issues,” “Notification of risks and changes,” “Proof of security,” “Personal information objectives,” “User control.” そし て,このパターンを活用して作成したプライバシー ポリシーのサンプルを示している.
3.5.7 プロセスパターン
[11]は Pris 方法論の中で,以下に挙げる 7 つのプ ロセスパターンを UML のアクティビティ図を用い て示している:“Authentication pattern,” “Authorization pattern,” “Identification pattern,” “Data protection pattern,” “Anonymity and pseudonymity pattern,” “Unlinkability pattern,” “Unobservability pattern.”
3.5.8 ユビキタスコンピューティングのためのプラ イバシーパターン
Chung らはユビキタスコンピューティングのため の 15 個のプライバシーパターンを提案している [6] : “Fair information practices,” “Respecting social organizations,” “Building trust and credibility,” “Reasonable level of control,” “Appropriate privacy feedback,” “Privacy-sensitive architectures,” “Partial identification,” “Physical privacy zones,” “Blurred privacy data,” “Limited access to personal data,” “Invisible mode,” “Limited data retention,” “Notification on access of personal data,” “Privacy mirrors,” “Keeping personal data on personal devices.”
3.5.9 プライバシーパターンカタログ
privacypatterns.org は以下に示す 9 つのパターンを 提示している [17]:“Asynchronous notice,”“Ambient
notice,” “Active broadcast of presence,” “Encryption with user-managed keys,” “Handling unusual account activities with multiple factors,” “Location Granularity,” “Strip invisible metadata,” “Private link,” “Privacy dashboard.”
また,カテゴリとして次に示す 15 個 (control, notice, exif, minimization, mobile, media, access, authentication, UI, location, transparency, encryption, distribution, cloud, metadata)をあげており,各パター ンとカテゴリを対応付けている (1 つのパターンが 複数のカテゴリに属すこともある).
3.5.10 Hoepman によるパターン
前述のように,Hoepman は 8 つの privacy design strategy を示すとともに各々の privacy design strategy に関連するパターンを示している.表 2 に各 privacy design strategy に関連付けられたパターンを示す.
表 2. Hoepman による privacy design strategy と プライバシーパターンの対応づけ Privacy design strategy パターン
Minimize Select before you select
Anonymisation and use pseudonyms
Hide Encryption Mix networks
Attribute based credentials Anonymisation and use
pseudonyms Differential privacy Separate
Aggregate Aggregation over time Dynamic location granularity k-anonymity
l-diversity
Inform Platform for privacy preferences (P3P)
Data breach notification Pattern collection by [Graf] Control
Enforce Access control Sticky policies
Demonstrate Privacy management systems Use of logging and auditing
4. 考察
本論文ではプライバシーを考慮したソフトウェア を開発する技術について,文献を収集し,鷲崎らが 提案した枠組の分類に基づき,現状の技術動向をま とめた.その結果,方法論やプロセス,原則,ガイ ドライン,パターンに関する研究事例が明らかにな った.方法論やプロセスにも要求分析プロセス,ア ーキテクチャ設計など異なるフェーズを対象とした 研究成果が報告されている.また,パターンに関し ても要求パターン,設計パターン,プロセスパター ン,プライバシーポリシーパターンと提案されてい る内容は多岐にわたっている.これらの知識を利用 する開発者の観点からは,プライバシー要求分析か ら設計までを方法論やプロセス,原則,ガイドライ ン,パターンを使ってシームレスに開発作業を行え ることが求められる.すなわち,知識間の有意味な 関連を構築することが必要である. この観点から見ると,Pris 方法論や Hoepman など いくつかの研究では知識全体の中の局所的な概念間 の 関 連 を 意 識 し た 成 果 を 発 表 し て い る . EU の PRIPARE プロジェクトは既存のベストプラクティ スを単一の方法論に統合することを目指している. PMRM や PbD-SE との積極的な連携を図ろうとして いる [15].しかしながら,まだその目標に対する具 体的な成果は示されておらず,現状は分析から設計 全体を見通した要素間の関連は十分整理されていな いことが明らかになった. またプライバシーはセキュリティと密接な関係に ある (セキュリティの脅威がプライバシーの漏洩に つながる等).その間の知識間の関連の構築も求めら れる.5. おわりに
本稿ではプライバシーを考慮したソフトウェアを 開発するための技術動向を紹介した.枠組として鷲 崎らが提案したメタモデルを述べ,本論文では文献 調査から方法論やプロセス,原則,ガイドライン, パターンに関する研究事例の概要を紹介した.これ まで個別に開発されてきたこの分野の技術を,枠組 に基づき整理したことは 1 つの貢献であると考える. プライバシーを考慮したソフトウェア開発技術の現 状を把握する一助になれば幸いである. 今後の課題は,文献のさらなる網羅性向上,プラ イバシーを考慮したソフトウェア開発のための知識 の体系化である.具体的には,今回の調査から例え ば PbD-SE のガイドラインは抽象的な記述にとどまっているが,それを補完するプライバシーパターン と関連付けることなどが考えられる.
謝辞
本研究は科学研究費補助金基盤研究 B「プライバ シーとセキュリティを統合した要求分析フレームワ ーク (課題番号:15H02686)」 (代表:吉岡信和)並び に情報科学国際交流財団 SSR 産学戦略的研究フォ ーラム 2015 年度「クラウドサービスの開発運用にお けるセキュリティとプライバシーの確保のためのメ タモデルに基づく知識ベースと参照アーキテクチャ の調査研究」 (代表:鷲崎弘宜)の助成の下で行われ た.記して謝意を表す.参考文献
[1] R. Balebako, and L. Cranor, “Improving app privacy: Nudging app developers to protect user privacy,” IEEE Security & Privacy, Vol. 12, No. 4, pp. 55-58, 2014. [2] S. Barnum and G. McGraw, Knowledge for Software Security, IEEE Security & Privacy, Vol. 3, No. 2, pp. 74-78, 2005.
[3] K. Beckers, “Comparing Privacy Requirements Engineering Approaches,” Proc. the 2012 Seventh International Conference on Availability, Reliability and Security, pp. 574-581, IEEE, 2012.
[4] A. Cavoukian, “Privacy by design: The 7 foundational principles,” Information and Privacy Commissioner of Ontario, Canada, 2009.
[5] A. Cavoukian, and D. Jutla, “Privacy by Design Documentation for Software Engineers Version 1.0,” 2014.
[6] E. S. Chung, J. I. Hong, J. Lin, M. K. Prabaker, J. A. Landay, and A. L. Liu, Development and evaluation of emerging design patterns for ubiquitous computing, Proc. the 5th conference on Designing Interactive Systems: processes, practices, methods, and techniques, pp. 233-242, ACM, 2004.
[7] M. Deng, K. Wuyts, R. Scandariato, B. Preneel, and W. Joosen, “A privacy threat analysis framework: supporting the elicitation and fulfillment of privacy requirements,” Requirements Engineering, Vol. 16, No. 1, pp. 3-32, Springer, 2011.
[8] C. Graf, P. Wolkerstorfer, A. Geven, and M. Tscheligi, “A Pattern Collection for Privacy Enhancing Technology,” Proc. the Second International Conferences on Pervasive Patterns and Applications, pp. 72-77, IARIA, 2010.
[9] M. Hafiz, “A collection of privacy design patterns,” Proc. the 2006 Conference on Pattern Languages of Programs (PLoP’06), pp. 1-13, 2006.
[10] J.-H. Hoepman, “Privacy design strategies,” ICT Systems Security and Privacy Protection, pp. 446-459, Springer Berlin Heidelberg, 2014.
[11] C. Kalloniatis, E. Kavakli, and S. Gritzalis, “Addressing privacy requirements in system design: the
PriS method,” Requirements Engineering, Vol. 13, No.3, pp. 241-255, Springer, 2008.
[12] A. Kung, “PEARs: privacy enhancing architectures,” Privacy Technologies and Policy, Lecture Notes in Computer Science, Vol. 8450, pp. 18-29, Springer International Publishing, 2014.
[13] L. L. Lobato, E. B. Fernandez, and S. D. Zorzo, “Patterns to Support the Development of Privacy Policies,” Proc. the International Conference on Availability, Reliability and Security (ARES'09), pp. 744-749, IEEE, 2009.
[14] Y.-S. Martin, J. M. del Alamo, J. C. Yelmo, “Engineering Privacy Requirements Valuable Lessons from Another Realm,” Proc. the First International Workshop on Evolving Security and Privacy Requirements Engineering (ESPRE2014), pp. 19-24, IEEE, 2014.
[15] N. Notario, A. Crespo, Y.-S. Martin, J. M. del Alamo, D. L. Metayer, T. Antignac, A. Kung, I. Kroener and D. Wright, “PRIPARE: Integrating Privacy Best Practices into a Privacy Engineering Methodology,” Security and Privacy Workshops (SPW), IEEE, pp. 151-158, 2015. [16] OASIS Privacy by Design Documentation for Software Engineers, OASIS Annex Guide to Privacy by Design Documentation for Software Engineers Version 1.0, 2014 (Accessed 2015/12/24).
[17] http://www.privacypatterns.org/patterns/
[18] P. J. Radics, D. Gracanin, and D. Kafura, “PREprocess before You Build: Introducing a Framework for Privacy Requirements Engineering,” Proc. the 2013 International Conference on Social Computing, pp. 564-569, IEEE, 2013.
[19] S. Romanosky, A. Acquisti, J. Hong, L. F. Cranor, and B. Friedman, “Privacy patterns for online interactions,” Proc. the 2006 Conference on Pattern Languages of Programs (PLoP '06). pp. 1-9, 2006. [20] J. Sabo, and M. Willett, “OASIS—Privacy Management Reference Model and Methodology (PMRM),” Version 1.0, 2013.
[21] S. Spiekermann, and L. F. Cranor. “Engineering privacy,” IEEE Transactions on Software Engineering, Vol. 35, No. 1, pp. 67-82, 2009. [22] 鷲崎弘宜, 福本創太, 山本美聡, 芳澤正敏, 大 久保隆夫, 小形真平, 海谷治彦, 加藤岳久, 櫨山淳雄, 吉岡信和, “クラウドサービスの開発と運用において セキュリティとプライバシを扱うためのメタモデ ル,” コンピュータセキュリティシンポジウム 2015 (CSS2015), 情報処理学会, 2015.
[23] A. F. Westin, "Privacy and Freedom, Atheneum," 1967.
[24] X. Xuan, Y. Wang, and S. Li, “Privacy requirements patterns for mobile operating systems,” Proc. the 2014 IEEE 4th International Workshop on Requirements Patterns, pp. 39-42, 2014.
[25] 吉岡信和, “プライバシー要求工学の概要と展 望 -利用者のプライバシーを考慮したサービスの構 築-,” 情報処理, Vol. 54, No. 11, pp. 1115-1120, 2013.
