Pマーク会社が考慮すべきリスクの種類

プライバシーマーク（Pマーク）を新規で取得する会社はまず自社が取得して管理している個人情報にどのようなものがあるかを洗い出すことになります。これを「個人情報の特定」いいます。

個人情報を特定した後に必要なのは「リスクの認識」です。プライバシーマーク（Pマーク）の規格がいう「リスクの認識」とは個人情報の取り扱いにおいて生じうるよくない状況を把握することをいいます。

個人情報に潜むリスクにはどのような種類があるのでしょうか。プライバシーマーク（Pマーク）の規格であるJIS Q 15001に明記されているリスクを中心にいくつか見てみましょう。

個人情報の漏えい

「漏えい」とは個人情報が外部に漏れてしまうことです。個人情報は当然のことながら取得した事業者の内部だけで利用すべきものであり、本人の許可もなく第三者に利用させてはならないものです。

もし個人情報が漏えいしてしまえば、その情報の本人であるお客様などのプライバシーを直接侵害することになりかねません。したがってプライバシーマーク（Pマーク）取得会社は何よりも個人情報の漏えいを重大なリスクとして認識する必要があるのです。

個人情報の滅失

「滅失」とは個人情報がなくなってしまうことです。具体的には電子データの形態で保存された個人情報が削除されたり、あるいは紙媒体で保管している個人情報が消失または紛失したりするような状況のことをいいます。

個人情報が滅失してしまうと、本来その個人情報を利用することで可能となる事業の遂行に支障が及ぶことになります。そうなると事業者だけでなく本人にも不利益が及びます。当然プライバシーマーク（Pマーク）取得会社はこの状況が起こる危険性をリスクとして認識しなければなりません。

個人情報のき損

「き損」とは個人情報が壊れてしまうことです。すなわちデータが欠損・改ざんされてしまったり、あるいは正確な情報でなくなったりするような状況です。

個人情報のき損もプライバシーマーク（Pマーク）における個人情報保護の観点では深刻なリスクとみなされます。

個人情報の目的外利用

プライバシーマーク（Pマーク）のリスク分析とISMSのリスクアセスメントの最大の相違点は、ISMSが単に情報の“保護”という視点でリスクを見ているのに対し、プライバシーマーク（Pマーク）のほうは情報の“正しい取り扱い”という視点も加えてリスクを見ているという点にあります。

個人情報の正しい取り扱いを損ねるリスクとして挙げられるのは個人情報の目的外利用です。「目的外利用」とは本人の同意を得た利用目的以外で個人情報を使う行為のことです。

これは個人情報の本人が持つ自分の個人情報を自分の意図どおりに利用させる権利を侵害する行為となります。この行為は単なる不適合ではなく法令違反でもあります。したがってプライバシーマーク（Pマーク）を取得・更新している会社は目的外利用が生じないよう対策を講じる必要があるのです。

まとめ

個人情報保護におけるリスクは他にもありますが、今回挙げたようなリスクを中心に認識していくことが意味のあるリスク分析の土台となります。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】