Pマーク取得までの道のり ～リスク分析～

プライバシーマーク（Pマーク）取得までの道のりで一番の課題となるのは「リスク分析」かもしれません。

プライバシーマーク（Pマーク）では、各取得会社が個人情報についてリスク分析を行うことが要求されていますが、これがまた大変な作業なのです。この作業を自社に合った仕方で行うことができれば、個人情報保護の質も向上し、ひいては業務全体の効率も上がることになりますが、逆に自社に合わない不適切な仕方で行えば、かえって無意味な業務を生み出して社員の負担を増やしてしまうことにもなりかねません。

それゆえにもどのようにリスク分析を始めて運用していくかという部分はプライバシーマークを取得しようとする会社にとって非常に重要な課題となるわけです。もっともこれはすでにプライバシーマークを取得して個人情報保護に取り組んでいる会社にとっても課題となる点です。

リスク分析の具体的な進め方については今後このブログで随時情報提供していきたいと考えておりますが、ひとまず今回の記事では個人情報保護における「リスク」の意味について考察したいと思います。

リスクとは？

個人情報における「リスク」とは、個人情報に関連して起こりうる望ましくない状況のことです。リスクはおおよそ4つに分類されます。

1つ目は「漏えい、滅失、き損」です。

「漏えい」は個人情報が外部に流出してしまうこと、「滅失」は個人情報がなくなってしまうこと、「き損」は個人情報の内容が欠けたり書き換えられたりしてしまうことを指します。

2つ目は「法令違反」です。

個人情報を取り扱う会社は個人情報保護法とそれに付随する条例やガイドラインを守ることが求められますが、これを違反してしまうことも一つのリスクです。

3つ目は「会社の経済的損失と信頼低下」です。

個人情報の取り扱いを誤ると、事後処理に費用と時間を奪われたりお客様から損害賠償を請求されたりすることにもなります。また顧客が減るおそれ、企業のイメージが損なわれるおそれもあります。

4つ目は「本人への悪影響」です。

個人情報が流出してしまうことでお客様の人権を侵害すること、また個人情報が失われることでサービスが受けられなくなってしまうことなどが挙げられます。

まとめ

この他にもありますが、個人情報のリスクとして想定される状況はだいたい以上の4分類のいずれかに該当するでしょう。リスク分析の大前提は「リスク」がそもそも何を指すのかを理解することです。まずは自社の個人情報についてどのようなリスクがあるのかを明確に知るところから始めましょう。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】