Pマークが求める2種類のリスク見直し

すべてのプライバシーマーク（Pマーク）取得会社は個人情報の管理についてリスク分析を行います。自社が取得している個人情報にどのようなリスクが潜んでいるかを認識しなければ適正な個人情報保護を実施することはできません。

プライバシーマーク（Pマーク）を取得する段階でリスク分析が必要なのはもちろんですが、個人情報保護の取り組みを継続させるにはそれ以上のこと、すなわち一度洗い出したリスクについてその後も繰り返し見直しをかけていくことが求められます。

それではプライバシーマーク（Pマーク）取得会社はいつリスクの見直しを行う必要があるのでしょうか？

定期的な見直し

リスク見直しの時期を考えるにあたって押さえておくべき知識があります。プライバシーマーク（Pマーク）では“定期的な”見直しと“随時の”見直しという2種類の見直しが求められているということです。

「定期的な見直し」とはあらかじめ時期を定めて一定の頻度で行うリスク見直しのことです。これはプライバシーマーク（Pマーク）運用に何らかの変化があろうとなかろうと必ずおこなわなければなりません。

プライバシーマーク（Pマーク）を取得している通常の会社であれば最低でも年に1度は見直しを行っているのではないでしょうか。

定期的な見直しを行う時期をいつにするかはそれぞれのプライバシーマーク（Pマーク）取得会社で決めることができます。事業年度に合わせて定めることもできれば、監査やMRや更新審査などプライバシーマーク（Pマーク）上のイベントのタイミングを考慮して定めることもできるでしょう。

随時の見直し

定期的な見直しのタイミング以外でも必要があればただちにリスクを見直すようにしましょう。「随時の見直し」とはまさにそのような取り組みのことで、リスク見直しを形式的なリスク分析表の更新作業に終わらせないためにも必要なことです。

でも具体的にはどういった場合が随時の見直しの必要な場面なのでしょうか。少なくとも次の2つの場合は見直しが必要と考えられます。

一つは「状況が変化したとき」です。

状況が変化したとき

新しい種類の個人情報を取得するようになったとか、保管・保存、移送などの手段や場所が大きく変化したなどの場合はリスクも変化しているはずですので見直しを行うべきです。

環境が変化した場合も同じです。事務所を移転したとか社内のネットワークを大規模に変更したなどの出来事があればやはりリスク見直しが必要と言えます。

リスク見直しが必要なもう一つのタイミングは「事故が発生したとき」です。

事故が発生したとき

事故が起こった背景には何らかの運用の不備があるはずです。そして運用の不備の背景にはリスクを正しく認識していないという問題が往々にして潜在しています。よって改めてリスクを見直すことは重要です。

まとめ

定期的な見直しと随時の見直し、そのどちらもプライバシーマーク（Pマーク）の運用には欠かすことができません。

随時の見直しだけではどうしても漏れが発生したり一面的になったりしやすいところを定期的な見直しによってカバーすることができます。逆に定期的な見直しに随時の見直しを加えることで会社のリスク分析を現実に即したものとしていくことができるのです。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】