Pマーク、ISOコンサル現場の声〜誰も教えない個人情報保護「現地審査の傾向」 vol.7

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

特集特集

2007.12.18 Tue 19:15

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名祐輔
http://rm.jmc.ne.jp/service/pm/p_column31.html

　皆さんこんにちは。今回は過去に実際に出た、現地審査の指摘事項を解説したいと思います。どの会社でも同様の指摘を受ける可能性がありますので、このコラムを読んで自分達の審査対応にも役立てて頂ければと思います。では、早速まいりましょう。

■指摘事項

リスクの認識、分析及び対策（3.3.3）リスク分析は「リスク分析表」で行っているが、「個人情報台帳」との関連付けがない。適切に対応すること。

■解説

今回はリスク分析に関する指摘事項です。主旨としては上記記載内容の通り、リスク分析と個人情報の台帳との関連ができていないことを指摘されています。

　さて、これはなぜ指摘事項になってしまうのでしょうか。規格の解説を交え解説しましょう。
　まず、JISQ15001 3.3.3の要求事項を見てみると、このように書かれています。“事業者は、3.3.1によって特定した個人情報について、その取扱の各局面におけるリスクを認識し〜”今回ご紹介する指摘はこの点が不十分だったといえます。

　リスク分析をするにあたって、3.3.1の要求事項で特定した個人情報が全て対象として含まれていなければなりません。なぜならば、リスク分析に含まれない個人情報が存在し、その個人情報に関するリスクが顕在化した場合、そこで個人情報漏えいや紛失などの事故が発生してしまう可能性があるからです。他でどんなにしっかり対策を実施していても、一点穴があるとそこで事件事故が起きてしまうという特徴が情報セキュリティにはありますね。

　ですから、3.3.3の要求事項では特定した個人情報に対してリスク分析をする旨が記載されていることになります。

　では、どのようにして個人情報の台帳とリスク分析を関連付ければ良いのでしょうか。ひとつの例としては以下のような方法が…

【執筆：浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/p_column31.html