Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.3 リスクなどの認識、分析および対策(1)
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
特集
特集
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column13.html
こんにちは。今回はシリーズとなっている、JISQ15001:2006の要求事項解釈の続きです。今回対象とする要求事項は、「3.3.3 リスクなどの認識、分析及び対策」です。本要求事項はリスク分析について言及している要求事項ですね。初めての方や慣れない方にとっては、何をすべきかイメージするのが難しいと思われます。
解説すると、このようになると思われます。Pマークは個人情報を管理する仕組みが適切である旨を証明する制度ですから、当然、取得事業者は、個人情報を漏えいや紛失、き損等から守らなければなりません。そのために、各社、事務所への入退室装置やバックアップなど、お金をかけて対策をとっているわけです。
しかし、それらの対策を自分達の思いつきで実施している場合、本当に個人情報の漏えいや紛失、き損から守っていると言えるでしょうか?ひょっとしたら自分達の気づいていないところで、ものすごく危ないところがあるかもしれません。であれば、対策を取る前に、きちんと現状を調査し、弱いところを洗い出し、その弱点を埋めるような対策を取ることが必要ではないでしょうか?
本要求事項は、まさにこのことを言っています。要求事項の文面を見てみても、それが読み取れます。
・3.3.1で特定した個人情報について、『その取扱いの各局面におけるリスク』を認識する。
・それらを分析する。
・(分析結果をもとに)必要な対策を講じる。
本要求事項では、リスク分析の方法として、「個人情報の取扱いの各局面におけるリスクを洗い出しなさい」と言っています。すなわち、個々の個人情報(紙やデータ)の取扱いの各局面(取得・入力・移送・送信・加工・保管・バックアップ・消去・廃棄)において、どのようなリスクがあるか洗い出しなさいということになります。
具体的な例として、とある会社の履歴書で考えてみましょう。
・取得:本人から郵送で取得している。
⇒郵便受けを施錠していないため、郵便受けから盗難されるおそれがあります。
・入力:履歴書の内容を、エクセルに打ち込んでいる
⇒打ち間違いによる、正確性が欠落するおそれがあります。
・移送、送信:不採用者の履歴書を、メールで返信している。
⇒誤送信により、第三者にその内容が渡ってしまうおそれがあります。
・保管:人事部のキャビネットに保管している。
⇒キャビネットに施錠していないため、盗難されるおそれがあります。
・廃棄:普通ゴミとして廃棄している。
⇒ゴミ捨て場等から、盗まれるおそれがあります。
上記は簡単でかつ、分かりやすい例になります。もっと複雑なプロセスだとしても、リスク洗い出しの観点(許可されていない第三者によるリスク、許可されている第一者によるリスク等)を増やしたとしても、基本的な考え方は同じです。
なお、JISQ15001の解説によると、リスクを洗い出す観点としては、以下が挙げられています…
【執筆:浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column13.html
《ScanNetSecurity》
