西山

リスクを構成する3つの要素【Pマーク取得の基礎知識】


 

プライバシーマーク(Pマーク)を取得している事業者であればすでにリスク分析を行い、必要に応じて更新しているものと思います。

リスク」とは個人情報に関して起こりうる危険のことで、「リスク分析」とはその危険の度合いを評価することです。リスク分析は簡単な作業ではありませんが個人情報を守るうえで必要不可欠な作業ですので、面倒と思わずに実施する必要があります。

リスク分析の手法はいくつかあり、その中にはリスクの大きさを数値化する手法もあります。具体的にはリスクを決定する3つの要素を数値化し、それぞれ数値化したものを掛け算して、最終的に出てきた数値をリスクの大きさとする、という手法です。

リスクを決定する3つの要素とは以下のとおりです。

 

情報の重要度

会社として取得している個人情報の中には重要度が高いものもそうでないものもあります。もちろんすべての個人情報は重要なものですが、その量や取得している項目などによって重要性の度合いには違いが出てきます。また取得した情報が直接取得なのか委託なのか、あるいは公開された情報から収集してきたものなのかなどの違いによっても機密性は異なってきます。

重要度の高い個人情報ほど事故が発生した場合の影響度も高くなりますので、本質的に高いリスクを抱えていると認識なければなりません。

プライバシーマーク(Pマーク)のリスク分析では洗い出した個々の個人情報について極めて重要度の高いものを「3」、重要度の高いものを「2」、それ以外のものを「1」という具合で数値化していくことになります。

 

脅威

リスクを決定する二つ目の要素は脅威です。「脅威」とは個人情報に事故を及ぼしうる外的な要因のことです。

たとえば事務所に重要な個人情報が保管されているとします。重要な個人情報は本質的に高いリスクを抱えていますが、それが存在するだけでは事故に発展しません。ここに「情報の盗難を目的とした事務所への侵入」という不正な行為などが存在することで情報の流出という事故が起こるのです。この例でいうと「事務所への侵入」が脅威です。

リスク分析では脅威についても極めて発生しやすいものを「3」、発生しやすいものを「2」、それ以外のものを「1」という具合で数値化していくことになります。

 

脆弱性

「脆弱性」とは個人情報の保護や正しい取り扱いにおける欠陥のことをいいます。先ほどの例でいうと、事務所の施錠を忘れることなどが脆弱性に当たります。

リスク分析では脆弱性についても極めて発生しやすいものを「3」、発生しやすいものを「2」、それ以外のものを「1」という具合で数値化していくことになります。

 

まとめ

ここまででご紹介した数値評価の手法はプライバシーマーク(Pマーク)の要求事項にありませんので、プライバシーマーク(Pマーク)取得会社としてこの方法を採用するかどうかは事業者の自由です。

プライバシーマーク(Pマーク)におけるリスク分析は情報セキュリティのリスク分析と異なり、単に情報の保護という観点だけでなく個人情報の本人の権利を守って取り扱うという観点からも分析を実施しなければなりません。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山