Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 「現地審査の傾向 vol.9」
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
特集
特集
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/p_column34.html
皆さんこんにちは。
今回も過去の現地審査の指摘事項を解説したいと思います。皆さんの会社でも同様の指摘を受ける可能性がありますので、このコラムを読んで審査の対応に役立てて頂ければ幸いです。
では早速、解説していきましょう。
■指摘事項
「リスクの認識、分析及び対策(3.3.3)」
リスクの洗い出しに漏れがある。安全管理上のリスクに関しては、適切に洗い出しているが個人情報の取り扱いに関する法令、国が定める指針その他の規範に対する違反が考慮されていない。同側面についての分析を加えること。
■解説
今回はリスク分析に関する指摘事項です。
リスク分析は安全管理の第一歩ですから、審査員も相応の厳しさを持って審査すると思われます。受審企業の担当者は、リスク分析の本質をよく理解した上で作業にあたり、審査も対応することをお勧めします。決してコンサルタント任せにならないよう注意しましょう。
上記の指摘事項では、リスクの洗い出しが不十分と指摘されています。なぜ、不十分と判断されてしまったのでしょうか。もう少し詳しく見てみましょう。
JISQ15001の要求事項にも書かれていますが、リスク分析を行う際に考慮すべきポイントとしては、個人情報の漏えい、滅失、き損がまず挙げられています。この観点は、皆さんもリスク分析を行う際に含めている事柄だと思います。
しかし、考慮すべきリスクは他にもあります。「関連する法令、国が定める指針その他規範に対する違反」もリスクに含め、分析するようJISQ15001では言われています。
ここでいう法令違反とは具体的にどのようなものでしょうか。1つ例を挙げるとすれば、個人情報保護法違反が考えられます。例えば、個人情報保護法の第15条では、「個人情報の利用目的を特定すること」と、「目的外利用の禁止、万が一目的外利用を行う場合は変更された利用目的を本人に通知、公表する旨」が規定されています。
ここでどのようなリスクが考えられるかというと、「従業員による個人情報の勝手な目的外利用」があり得るのではないでしょうか。
対策としては…
【執筆:浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/p_column34.html
《ScanNetSecurity》
アクセスランキング
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社
-
「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に
-
護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
メディキットホームページに不正アクセス、閲覧障害に
-
「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢
-
セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性
-
日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版