リスクを構成する3つの要素【Pマーク取得の基礎知識】
プライバシーマーク(Pマーク)を取得している事業者であればすでにリスク分析を行い、必要に応じて更新しているものと思います。
「リスク」とは個人情報に関して起こりうる危険のことで、「リスク分析」とはその危険の度合いを評価することです。リスク分析は簡単な作業ではありませんが個人情報を守るうえで必要不可欠な作業ですので、面倒と思わずに実施する必要があります。
リスク分析の手法はいくつかあり、その中にはリスクの大きさを数値化する手法もあります。具体的にはリスクを決定する3つの要素を数値化し、それぞれ数値化したものを掛け算して、最終的に出てきた数値をリスクの大きさとする、という手法です。
リスクを決定する3つの要素とは以下のとおりです。
情報の重要度
会社として取得している個人情報の中には重要度が高いものもそうでないものもあります。もちろんすべての個人情報は重要なものですが、その量や取得している項目などによって重要性の度合いには違いが出てきます。また取得した情報が直接取得なのか委託なのか、あるいは公開された情報から収集してきたものなのかなどの違いによっても機密性は異なってきます。
重要度の高い個人情報ほど事故が発生した場合の影響度も高くなりますので、本質的に高いリスクを抱えていると認識なければなりません。
プライバシーマーク(Pマーク)のリスク分析では洗い出した個々の個人情報について極めて重要度の高いものを「3」、重要度の高いものを「2」、それ以外のものを「1」という具合で数値化していくことになります。
脅威
リスクを決定する二つ目の要素は脅威です。「脅威」とは個人情報に事故を及ぼしうる外的な要因のことです。
たとえば事務所に重要な個人情報が保管されているとします。重要な個人情報は本質的に高いリスクを抱えていますが、それが存在するだけでは事故に発展しません。ここに「情報の盗難を目的とした事務所への侵入」という不正な行為などが存在することで情報の流出という事故が起こるのです。この例でいうと「事務所への侵入」が脅威です。
リスク分析では脅威についても極めて発生しやすいものを「3」、発生しやすいものを「2」、それ以外のものを「1」という具合で数値化していくことになります。
脆弱性
「脆弱性」とは個人情報の保護や正しい取り扱いにおける欠陥のことをいいます。先ほどの例でいうと、事務所の施錠を忘れることなどが脆弱性に当たります。
リスク分析では脆弱性についても極めて発生しやすいものを「3」、発生しやすいものを「2」、それ以外のものを「1」という具合で数値化していくことになります。
まとめ
ここまででご紹介した数値評価の手法はプライバシーマーク(Pマーク)の要求事項にありませんので、プライバシーマーク(Pマーク)取得会社としてこの方法を採用するかどうかは事業者の自由です。
プライバシーマーク(Pマーク)におけるリスク分析は情報セキュリティのリスク分析と異なり、単に情報の保護という観点だけでなく個人情報の本人の権利を守って取り扱うという観点からも分析を実施しなければなりません。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
