残存リスクを把握する【Ｐマーク取得の基礎知識】

“リスクを管理する”ということはプライバシーマーク（Pマーク）における個人情報保護に欠かせない側面です。

プライバシーマーク（Pマーク）においてリスクとは個人情報に及ぶことが想定される危険で、個人情報保護を損ねる要因のことを指します。

プライバシーマーク（Pマーク）を取得する会社は自社の持つ個人情報についてリスクの洗い出しを行い、それぞれのリスクに対処するための方法を構築していかなければなりません。

しかしながらリスクというものはいくら申し分のない対策を講じたとしても完全にゼロにすることはできないものです。ここで登場するのが「残存リスク」です。

残存リスクとは可能な限りの対策を講じたうえで依然として残る未対応のリスクのことです。

残存リスクを把握することが大切

残存リスクが存在していることが問題なのではありませんし、そのことがプライバシーマーク（Pマーク）の取得審査や更新審査などで不適合とされることはありません。

大切なのは会社として残存リスクを把握しておくことです。プライバシーマーク（Pマーク）取得会社であれば個人情報のリスクを可視化するためのリスク管理表などを作成しているはずですから、そこに残存リスクが残存リスクとしてわかるように記載しておくとよいでしょう。残存リスクを明記する目的は、社内でリスクに対する認識を明確に共有しておく点にあります。

残存リスクに対して取りうる措置とは

もちろん残存リスクは現時点で未対応だからこそ「残存リスク」というわけですが、だからといって把握しておくだけで放っていてよいわけではありません。

ここで重要なのは残存リスクを管理することです。残存リスクを管理するとはどういうことでしょうか？

もし残存リスクを“予防”するための措置を十分に設けられないのであれば、せめてリスクが顕在化したときに早期に“検知”し、早急に“復旧”させるための措置を講じておくべきです。

そのためにも残存リスクに対しては日常の運用点検の対象として特段の注意を向ける手順を定めたり、万一問題が生じたときに速やかに連絡や処置を図るための体制を事前に整えたりすることが必要になります。

残存リスクの例

残存リスクの例を考えてみましょう。

委託先を監督することはプライバシーマーク（Pマーク）の要求事項ですが、その一環として委託先と機密保持契約を交わすことが審査では確認されます。ところが委託先によっては必要な内容がすべて盛り込まれた契約を交わすことができない場合もあります。

このような状況を会社が把握もせず放置しているならそれは不適合と判定せざるをえませんが、会社がこの状況を未対応のリスクとして把握し、別の方面から個人情報保護対策を講じているとしたら、それは適切に残存リスクを管理しているということができるでしょう。

まとめ

以上、残存リスクについて説明させていただきました。

プライバシーマーク（Pマーク）ではリスクを定期的に見直すことが必要とされていますが、同様に残存リスクも定期的に見直し、内容を現状に合わせて更新しておくことが要求されています。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】