プライバシーマークで求められるリスク分析のやり方

プライバシーマーク(以下、Pマーク)の取り組みで最大と言って良い山場はリスクアセスメントと言えます。

 

リスクアセスメントで手を抜くとその後の取り組みに大きな影響が出てしまい、認証取得を目指す上で逆に大きな障害になってしまいます。

 

たかがリスクアセスメントされどリスクアセスメントというわけです。

 

今回はそのリスクアセスメントについて取り組みを行う上でのポイントを触れてみたいと思います。

 

【なぜ手抜きしてはダメなのか】

リスクアセスメントを手抜きしてはダメな理由としては大きく3つのことが上げられます。

  • 特定した個人情報をベースにリスクアセスメントを行うため、手抜きをしてしまうと自社の個人情報に対するリスク・対策が見えなくなってしまう
  • リスクアセスメントの結果、出てくるリスク対策は自社の個人情報管理のルールの元になるため、手抜きをするとルールにヌケモレが出る。
  • リスクアセスメントを手抜きすると情報漏えいにつながる心配事が見えないので、情報漏えいが実現してしまう可能性が一向に下がらない。

結論として、リスクアセスメントをしっかり行うことで会社の個人情報保護のルールがしっかりと出来上がってくると言えます。

 

 

【リスクアセスメントの進め方】

ではPマーク上のリスクアセスメントはどのように進める必要があるのでしょうか。

ISMSなどではある程度自由なリスクアセスメントが出来ますが、Pマークは逆に縛りが結構厳しいと言えます。

ポイントは下記の3つです。

  • 個人情報のライフサイクル(取り扱いの流れ)に沿ってリスクアセスメントを実施する
  • すべての個人情報が対象になる
  • 取り扱いが同じものはグルーピングして構わない

まず、リスクアセスメントを実施する際には個人情報の流れを把握してそこにどんなリスクが想定されるかイメージします。

例えば、①履歴書を受け取る→②面接で使用する→③書庫で保管する→④不採用だったので破棄する 

こう言った流れがあった場合に①~④をPマークでよく言われるライフサイクルに当てはめてどんなリスクがあるか想定します。

 

※ライフサイクルは取得・利用・保管・移送・廃棄・委託と言った個人情報の流れのカテゴリを指します。

 

想定したリスクが実現しないようにするためにどんな対策があるか検討・決定し、それを書いていくわけです。

 

Pマークはすべての個人情報に対してリスクアセスメントを求めているのですべてが対象になりますが、取り扱いの流れ(ライフサイクル)が同じ個人情報についてはグルーピングし、まとめてリスクアセスメントを行って良いとしています。

 

※余談ですが、、、審査ではよくライフサイクル上リスクがないフェーズはないと言われます・・・

 

上記のようなものをリスクアセスメント結果として帳票にまとめ結果を残す必要があります。

 

【残留リスクとは】

また、リスクアセスメントを行った際には必要に応じて残留リスクを把握し、管理する必要があります。

以前のPマーク状は残存リスクという言葉でしたが、2017版になり残留リスクとなりました、。

 

要求事項であるJISQ15001:2017のA3.3.3では残留リスクについて「現状で実施し植える対策を講じた上で、未対応部分を・・・」と記述しています。

つまり、リスク対策を行った上で未対応となった部分について残留リスクとして把握し、管理を行うことを求めています。

 

昔よくあったのが、「ダブルチェックを行う」というリスク対策を書いたら、「チェック漏れが起きてしまう」という残存リスクを書かれるケースがありましたが、こういった堂々巡りになるようなものはは対策を講じた上で、残りうる未対応部分とは言えないので、書く必要はありません。

 

 

Pマーク上のリスクアセスメントはやり方はある程度決まっているものになりますが、奥が深くポイントを把握してないとなかなか抜け出せなくなります。

Pマークを効率よく取得することを目指す場合、知見を持つ専門家への相談は不可欠になります。