見出し画像

プライバシーマーク (Pマーク)リスクアセスメントのやり方

とある会社のPマーク取得までのリアル日記

 リスクアセスメントは、どんなリスクがあるのか抽出、特定し、事故が起きた際の影響の大きさを考慮した上で適切な安全管理を行う必要があります。
その際に、個人情報の取得から廃棄までのライフサイクルに沿って各局面でどのようなリスクがあるのかを洗い出しをすると良いです。

1.     物語

前回、個人情報について台帳を作成することができました。
しかし、プライバシーマーク(Pマーク)の取得を目指すためにはまだまだやるべきことが多そうです。今回のやるべきこととして前回作成した台帳に基に「リスクアセスメント」を行う必要があるそうです。

運営委員会       :『個人情報管理台帳作成できたな!』
チームメンバー:『最高ですね!でもまだまだP取得にはやるべき事が多い  みたいです!』
運営委員会       :『そうなんだよな。じゃあ次はリスクアセスメントについて調べてみよう!リスクアセスメントの作成方法についてもきっと重要なポイントがあるはず!それを探し出していこう!』

2.     リスクアセスメントとは

事業者が取扱っている情報に対し、どんなリスクがあるかを洗い出し、管理することです。
リスクはなくなることがなく、新たに発生していることも多いので定期的に見直しをすることが重要です。

3.リスクを洗い出す方法

1)個人情報のライフサイクル

リスクアセスメントが何かわかったところで、リスクを洗い出す方法について調べてみました。
まず、リスクを洗い出すには個人情報のライフサイクルがキーワードとなりそうです。
そもそもライフサイクルとは、個人情報の『取得~移送・送信~利用・加工~委託・提供~保管・バックアップ~廃棄・消去』までの流れを意味します。
それぞれの局面でどんなリスクがあるのか洗い出し、そのリスクの洗い出しを行うことでリスクアセスメントが完成します。
 
例えば、採用面接のシーンで考えてみましょう。
取得:採用選考者から履歴書を受け取る。

移送・送信:受け取った履歴書を社内で持ち歩く。

利用・加工:受け取った履歴書を採用選考に用いる

委託提供:なし

保管・バックアップ:鍵付きキャビネットに保管する

廃棄・消去:シュレッダーで廃棄を行う。
 
 
このような流れがライフサイクルになります。
このライフサイクルからリスクを洗い出しリスク対策する工程が生まれてきます。
リスク対策はすべての個人情報に対して一律の対策をすることが求められるわけではなく、その個人情報で事故が起きた際の重大性を考慮した上で、適切な対策をすることが求められています。そのため個人情報によって安全管理の方法が異なります。また、洗い出すリスクは必ずしも1つではなく複数あることが多いです。
しかしリスク対策を講じたのにも関わらず、リスクが残る場合があります。その場合は残留リスクとして把握できるようにしておきます。

2)残留リスクとは

次に重要なキーワードとなる残留リスクについて調べてみました。
まず、残留リスクとは『リスク対策しても回避できないリスク』の事です。
『許容可能なリスク』と言われることも多く、対策することより「把握すること」が重要だそうです。
 
パスワード設定で考えてみましょう。
 
パソコンに保存されている個人情報を守るための対策として、パソコンにパスワード設定をするとします。
このパスワード設定が、情報漏えいリスクに対するリスク対策になりますね。
しかしながら、パスワード設定だけでこの漏えいリスクが0になったわけではありません。
安易に予想できるパスワードだったら、すぐ解除できてしまいますし、作業中に盗み見されて漏えいしてしまう可能性もあります。
これらが情報漏えいのリスク対策でパスワード設定“のみ”を実施した場合の残留リスクになります。
この残留リスクが許容可能なのか、それとも+αでなにかリスク対策が必要なのかを考えてみると、より有効なリスク対策を実施するためのヒントにもなってくると思います。
 
そうは言っても、どれだけリスク対策を行っても完璧なものはないはずです。したがって残留リスクは全てを対策しようと考えるのではなく、把握することが大切ということです。

4.まとめ

プライバシーマーク(Pマーク)の運用をする上で「リスクアセスメント」は重要なポイントになります。
 
では、本日のまとめです。

1      取得~廃棄までのライフサイクルで洗い出しを行う
2      洗い出したリスクの対策を個人情報ごとに考える
3      対策しても残る残留リスクは対策ではなく把握することが大切である

プライバシーマーク(Pマーク)の審査で指摘No.1台帳の特定漏れと前回紹介させていただきましたが、これに付随し、「リスクアセスメト」に関する指摘も多いです。業務の実態に合わせて個人情報の取り扱い状況を把握した安全管理も重要です。

今回はプライバシーマーク (Pマーク)リスクアセスメントのやり方についてお話させて頂きましたが、いかがでしたでしょうか?

最後まで読んでいただきありがとうございました。
 
 

この記事が気に入ったらサポートをしてみませんか?