Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 「現地審査の傾向 vol.9」
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
特集
特集
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/p_column34.html
皆さんこんにちは。
今回も過去の現地審査の指摘事項を解説したいと思います。皆さんの会社でも同様の指摘を受ける可能性がありますので、このコラムを読んで審査の対応に役立てて頂ければ幸いです。
では早速、解説していきましょう。
■指摘事項
「リスクの認識、分析及び対策(3.3.3)」
リスクの洗い出しに漏れがある。安全管理上のリスクに関しては、適切に洗い出しているが個人情報の取り扱いに関する法令、国が定める指針その他の規範に対する違反が考慮されていない。同側面についての分析を加えること。
■解説
今回はリスク分析に関する指摘事項です。
リスク分析は安全管理の第一歩ですから、審査員も相応の厳しさを持って審査すると思われます。受審企業の担当者は、リスク分析の本質をよく理解した上で作業にあたり、審査も対応することをお勧めします。決してコンサルタント任せにならないよう注意しましょう。
上記の指摘事項では、リスクの洗い出しが不十分と指摘されています。なぜ、不十分と判断されてしまったのでしょうか。もう少し詳しく見てみましょう。
JISQ15001の要求事項にも書かれていますが、リスク分析を行う際に考慮すべきポイントとしては、個人情報の漏えい、滅失、き損がまず挙げられています。この観点は、皆さんもリスク分析を行う際に含めている事柄だと思います。
しかし、考慮すべきリスクは他にもあります。「関連する法令、国が定める指針その他規範に対する違反」もリスクに含め、分析するようJISQ15001では言われています。
ここでいう法令違反とは具体的にどのようなものでしょうか。1つ例を挙げるとすれば、個人情報保護法違反が考えられます。例えば、個人情報保護法の第15条では、「個人情報の利用目的を特定すること」と、「目的外利用の禁止、万が一目的外利用を行う場合は変更された利用目的を本人に通知、公表する旨」が規定されています。
ここでどのようなリスクが考えられるかというと、「従業員による個人情報の勝手な目的外利用」があり得るのではないでしょうか。
対策としては…
【執筆:浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/p_column34.html
《ScanNetSecurity》