リスクを「分析する」とは？【Ｐマーク取得の基礎知識】

「リスク分析」という言葉を聞いたことはありますか？ 言葉を聞いただけで何だか難しそうです。

プライバシーマーク（Pマーク）を使用している会社は個人情報に関してリスク分析を行うことが求められますが、リスク分析は何も個人情報に限って行うものではなく、その他のあらゆる事業や活動においても行うべきものです。

日常生活の中でのリスク分析

実はだれしもが自分個人の日常生活の中で常にリスク分析を行いながら生きているとさえ言うことができます。リスク分析などという言葉を使っていないだけです。

たとえばですが、今は季節の変わり目ですのでかぜをひいて体調を崩す方も少なくありません。“かぜをひく”というのがわたしたちの生活におけるリスクの一つです。ではどんな原因でかぜをひいてしまうのでしょうか？ かぜをひいている人と一緒に過ごすとか、疲労やストレスが溜まっているとか、薄着をして体が冷えるとか、いろいろあると思います。それぞれの原因を認識し、特に自分に当てはまりやすい原因を特定し、その部分から優先的に改善してかぜを予防していくという方法をだれしもがとっているはずです。

要はこれが「リスク分析」の考え方です。プライバシーマーク（Pマーク）取得会社は健康管理ではなく個人情報保護についてこれと同様のことを行っていかなければならないということです。では個人情報に対して行うべきリスク分析とは実際にどのようなものなのでしょうか。

リスク分析とは？

個人情報における「リスク」の具体的内容は前回の記事で述べたとおりです。それを分析することには主に次の2段階の活動が含まれています。

第1段階はリスクを“認識する”ことです。

会社が持つ個人情報は必ずしも1種類だけとは限りません。いくつかのサービスを提供している会社の場合は、それぞれのサービスごとにお客様から個人情報を入手しているかもしれませんし、その場合はそれぞれの個人情報ごとに重要度や取り扱い方、内容（氏名・住所・電話番号・勤務先などのうちどこまでの範囲の情報を取得しているか）が違うはずです。

したがってどのようなリスクが起こりうるかをそれぞれの個人情報ごとに突き止めなければなりません。個人情報の取得から移送、利用、保管、廃棄に至るまでの一連の流れの中で想定されるリスクを一つ一つ洗い出す必要があります。

第2段階はリスクを“分析する”ことです。

リスク分析の仕方

リスクを洗い出していくと枚挙にいとまがありませんし、すべてのリスクに対して非の打ちどころのない対策を講じようとするのは現実的ではありません。重要なのはリスクのうち自社にとって危険度の高いものとそうでないものを見極めることです。

この見極めのことをリスク分析と言います。リスクの評価基準を設け、洗い出したリスクをその基準に沿って点数化するなどすれば、危険度の高いものから順に対応策を立てていくことができます。

リスクの分析が正確だと、業務の負担を不必要に増し加えることなく精度の高い個人情報保護を実現することができます。

まとめ

簡単ではありますが、リスク分析の考え方となる部分をお話させていただきました。リスク分析については他にも記事にしたいことがたくさんありますので、またお読みいただけましたら幸いです。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】