Pマークのインシデント対応手順

個人情報を取得している以上どの会社も個人情報の漏えいや滅失などの緊急事態が発生するリスクを抱えることになります。この場合に必要なのは緊急事態が発生したときに被害を軽減し、再発を防止するための手順を事前に策定しておくことではないでしょうか。

プライバシーマーク（Pマーク）はインシデントに対応するための手順を定める際に以下の点を考慮するよう求めています。

緊急事態や事故が最も起こりやすい場面を想定する

事故が発生するシーンは様々です。あらゆる場面に一律に当てはまる手順をプライバシーマーク（Pマーク）取得会社が定めようとするのは非現実的なことですし、プライバシーマーク（Pマーク）の意図するところでもありません。

大切なのは自社において起こりやすいインシデントを分析し、その検討結果を重点的に考慮したインシデント対応手順を定めることです。

予想される被害の規模を想定する

プライバシーマーク（Pマーク）取得会社におけるインシデントによる被害とは、たとえば経済的な不利益や社会的な信用の失墜、本人への影響などが考えられます。

インシデントの被害は大小様々ですが、とりわけ大規模な被害を生じさせるようなインシデントには十分な対応方法を事前に定めておく必要があるということです。

被害を最小限に抑えるための処置方法を決める

インシデント対応手順に被害を最小限に抑えるための処置方法を含めるのはプライバシーマーク（Pマーク）の基本です。

事故を根本的に解決することも重要ですが、事故の直後に優先して行うべきなのはとにかく被害を食い止め、顧客や取引先、会社に及ぶ悪影響を停止させることです。

このための適切な手段がインシデント対応手順に含められているなら問題ありません。

緊急連絡・報告の手順を定める

事故が発生したときに大切なのは”情報の伝達”です。

まず社内での連絡はかかせません。インシデントが発生した場合にそれを発生させた（または発見した）社員がだれに報告すればいいのかを確実に把握できる体制を整えるようにしましょう。社内の緊急連絡網を整備し、必要に応じて更新しておくのがよいかもしれません。

また緊急事態が発生したときは社内だけでなく社外の関係機関にも報告を行わなければなりません。関係機関とは公的機関という意味ではなく報告する必要のある機関や人を指しています。

再発防止の手順を定める

インシデントの発生を受けてプライバシーマーク（Pマーク）取得会社が行うべきことは被害を最小限にとどめることだけではありません。

被害を解消したら、次は再発防止策を講じる必要があるのです。プライバシーマーク（Pマーク）上ではインシデント対応手順に再発防止の手順が含まれていることが要求されています。

教育訓練を含める

手順を定めることに加えて、個々の社員が緊急時にその手順にのっとって対応できるよう日頃から教育訓練を実施しておくことも重要です。

まとめ

インシデント対応手順は会社の現状に合わせて定期的に更新し、緊急事態に実際に使えるものであるようにしておくことが大切です。

こちらの記事もおすすめです

→【Pマークって日本だけ？】