日本最大級のPマークコンサル会社一括見積請求サイト。企業情報リサーチのプロが最適なPマーク取得支援会社をご案内します。

39

2017/10/1

現在

315

2017/10/1

現在

0120-67-6665

リスクの認識

リスクの認識とは?

「リスクの認識」とは個人情報に対して想定されるリスクを洗い出して明らかにすることです。

プライバシーマーク(Pマーク)を取得するに当たって一般的に実施されることは、まず社内にある個人情報を洗い出し、次にそれぞれの個人情報のライフサイクルにおける局面に注目し、各局面で想定しうるリスクを洗い出すという一連の活動です。

個人情報の保護や適切な取り扱いにおいては常にリスクが存在します。プライバシーマーク(Pマーク)の規格であるJIS Q 15001では以下のようなものが個人情報のリスクとして列挙されています。

 個人情報の漏えい
 個人情報の滅失
 個人情報のき損

以上のものは情報セキュリティの観点でもリスクとして認識されるものであり、プライバシーマーク(Pマーク)取得会社でなくても自社の情報資産を保護するうえでリスクとして比較的容易に想定されるものです。

しかしプライバシーマーク(Pマーク)においては情報保護という観点でのみリスクを認識するのでは不十分とされています。

以下のようなリスクも個人情報のリスクとして認識されなければなりません。

 個人情報の目的外利用
 個人情報に関連した法令等への違反
 経済的不利益や社会的信用の失墜
 本人への望ましくない影響

実際のリスク認識は上で述べたとおり個人情報のライフサイクルにおける局面ごとに実施するのが合理的な方法です。

個人情報のライフサイクルの局面とは、個人情報の「取得・入力」、「移送・送信」、「利用・加工」、「保管・バックアップ」、そして「消去・廃棄」です。個人情報は最初から最後まで一定の状況下にあるのではなく、取り扱われるそれぞれの場面で異なる状況下に置かれます。

状況が異なれば発生するリスクも異なるわけですから、プライバシーマーク(Pマーク)においてはそれぞれの状況を想定してリスクを認識しなければならないのです。

またリスクは具体的に認識することが必要です。具体的に認識するとは単に「情報漏えいのリスクがある」というように洗い出すのではなく、いつ、だれが、どのようなことを行ったときにどのようなリスクが発生するかを挙げることです。

プライバシーマーク(Pマーク)取得会社は社内で実施するリスク認識のための手順を定め、それを文書化しておかなければなりません。

またリスク認識を実際に実施した結果は記録として保存しておく必要があります。記録はリスク認識だけでなくリスク分析、そしてリスクの対策などもまとめたものとして作成しておくのが一般的です。

≪用語集一覧ページに戻る
Copyright© 2017 Pマークの窓口 All rights Reserved.