Pマーク、ISOコンサル現場の声〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.7緊急事態への準備(1)

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名祐輔
http://rm.jmc.ne.jp/service/pm/column16.html

皆さんこんにちは。今回も新JISの要求事項解説を行いたいと思います。今回のテーマは3.3.7緊急事態への準備の第1回目です。この要求事項は新JISになって新たに出てきたものですので、旧JISでPマークを取っている会社も新たに手順を策定する必要がありますね。

さて、早速内容に移りたいと思います。この要求事項、言っている内容は大きく3つ挙げられます。

(1) 緊急事態を特定する手順の策定
(2) 被害を最低限に抑える手順の策定
(3) 事実関係、是正措置等の公表・通知手順

(1) の緊急事態を特定する手順ですが、これは言い方を変えると、「何をもって緊急事態とするか、その定義をはっきりさせること」と言うことができると思われます。

例えば、Eメールの誤送信という事象が起こったとして、たまたま添付ファイルにお客様1名分の氏名が入っていた場合、これは皆様の会社にとって緊急事態に該当するでしょうか？該当すると答える人、該当しないと答える人、両方いると思います。

では他に、1名分ではなくて、100名分ではどうでしょうか？その内容が氏名だけではなくて、その人のクレジットカード番号が含まれていた場合はどうでしょうか？これらも、両方の答えが出てくると思います。　要は、「緊急事態」と一言で言っても、その人の役職や責務、知識や経験などによってその定義は変わるということです。

そのような状態で個人情報保護マネジメントシステムを運用してしまうと、個人情報保護管理者の視点で緊急事態に該当する事象が発生しても、現場が緊急事態と判断せずに報告を怠り、結果的に対応を放置し、被害が拡大して気づいた時には対応が後手に回ってしまう恐れがあると思われます。

それを避けるためにも、会社として何をもって緊急事態とするかという定義を明確にし、それを規程などに明記したうえで教育を通じて従業者に周知徹底することが必要になってきます。この要求事項で緊急事態を特定する手順は、このような理由で必要なんだと思われます。

では、規程類においてどのように緊急事態を特定するかというと、規格の解説を読むと「自社で最も緊急事態が起こりやすい場面」や、「その被害の規模」といったことを目安に特定するようにと言われています。

従って、例えば、DM発送を主にしている事業者であれば、ラベルの貼り間違いによる誤送信が考えられるでしょうし、派遣業を主にしている事業者であれば、派遣された方が派遣先で個人情報を盗難、紛失するという事象が考えられるでしょう。

また、金融機関であれば信用情報の不適切な取り扱いが挙げられるでしょう。他にも、過去に個人情報関連の事件事故が発生していれば、「起こりやすい場面」ということでその事象を緊急事態とするのもよいかと思われます。

それ以外に…

【執筆：浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column16.html