Pマークのリスク分析と”ライフサイクル”

個人情報にはヒトと似たところがあります。

人間に一生という定められた期間があるように、そして一生涯の中で誕生、成長、成熟、老衰、そして命の終わりという大きな節目となる重要な出来事が皆に共通してあるように、情報というものにもライフサイクルとその中で訪れる重要な局面があるのです。

プライバシーマーク（Pマーク）を取得する会社は個人情報を管理するにあたってリスク分析を行わなければなりませんが、この活動もまた個人情報のライフサイクルに沿ってリスクを洗い出す作業を行うことから始まるのです。「リスク分析」とは個人情報に及ぶ危険としてどのようなものがあるかを見極め、その危険の度合いを評価することです。

それにしても個人情報のライフサイクルとは具体的にどのようなものなのでしょうか？ 分類の方法はいくつかありますが、その中の一つとして今回は5つの局面から成る個人情報のライフサイクルというものをお伝えします。

取得・入力

人間の一生の“誕生”に当たるのが個人情報の「取得」や「入力」と言えるかもしれません。

本人から個人情報を取得したり、受け取った個人情報を電子データの形で入力したりすることをきっかけに一個の個人情報というものがプライバシーマーク（Pマーク）取得会社の中に存在し始めます。

利用・加工

個人情報はまさに「利用」するためにお客様や取引先から取得するものです。ですから個人情報を業務のために実際に見たり利用したりする場面というのは個人情報にとって最も重要な局面と言えます。

さらには個人情報を「加工」する、すなわちコピーして合成したり更新したりリスト化したりして利用しやすいようにするということもあるのではないでしょうか。

移送・送信

個人情報が“動く”場面というのもプライバシーマーク（Pマーク）取得会社がリスク分析を行うにあたって特に注目すべき局面です。

「移送」や「送信」とは個人情報が所定の保管場所から移動するすべての状況を指しますが、具体的には物理的な持ち運び、USBメモリなどを使用した移動、メールでの送受信、FAX、郵送など多岐にわたる手段での移動を含みます。

以上の3つの局面がよく生じる時期というのはその個人情報がかなり頻繁に活用されている時期です。プライバシーマーク（Pマーク）におけるリスク分析でも情報漏えいや不正アクセス、消失など多方面のリスクを検討しなければなりません。

保管・バックアップ

個人情報がある程度その利用目的を達成すると、あとは“低活用時期”に入ります。

低活用時期の個人情報の主な状態は「保管」です。電子データの場合は同時に「バックアップ」を取っておく必要もあるでしょう。

廃棄・消去

やがて個人情報が完全に利用目的を終えると、プライバシーマーク（Pマーク）で定めた保管期間も過ぎた時点で「廃棄」されることになります。電子データの場合であれば「消去」されます。

まとめ

個人情報をライフサイクルという観点から見ると、これまでとは違ったリスクを発見することもあるでしょうし、リスクの整理にも役立つことでしょう。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】