Pマーク会社が考慮すべきリスクの種類

プライバシーマーク(Pマーク)(Pマーク)を新規で取得する会社はまず自社が取得して管理している個人情報にどのようなものがあるかを洗い出すことになります。これを「個人情報の特定」いいます。
個人情報を特定した後に必要なのは「リスクの認識」です。プライバシーマーク(Pマーク)の規格がいう「リスクの認識」とは個人情報の取り扱いにおいて生じうるよくない状況を把握することをいいます。
個人情報に潜むリスクにはどのような種類があるのでしょうか。プライバシーマーク(Pマーク)の規格であるJIS Q 15001に明記されているリスクを中心にいくつか見てみましょう。
個人情報の漏えい
「漏えい」とは個人情報が外部に漏れてしまうことです。個人情報は当然のことながら取得した事業者の内部だけで利用すべきものであり、本人の許可もなく第三者に利用させてはならないものです。
もし個人情報が漏えいしてしまえば、その情報の本人であるお客様などのプライバシーを直接侵害することになりかねません。したがってプライバシーマーク(Pマーク)取得会社は何よりも個人情報の漏えいを重大なリスクとして認識する必要があるのです。
個人情報の滅失
「滅失」とは個人情報がなくなってしまうことです。具体的には電子データの形態で保存された個人情報が削除されたり、あるいは紙媒体で保管している個人情報が消失または紛失したりするような状況のことをいいます。
個人情報が滅失してしまうと、本来その個人情報を利用することで可能となる事業の遂行に支障が及ぶことになります。そうなると事業者だけでなく本人にも不利益が及びます。当然プライバシーマーク(Pマーク)取得会社はこの状況が起こる危険性をリスクとして認識しなければなりません。
個人情報のき損
「き損」とは個人情報が壊れてしまうことです。すなわちデータが欠損・改ざんされてしまったり、あるいは正確な情報でなくなったりするような状況です。
個人情報のき損もプライバシーマーク(Pマーク)における個人情報保護の観点では深刻なリスクとみなされます。
個人情報の目的外利用
プライバシーマーク(Pマーク)のリスク分析とISMSのリスクアセスメントの最大の相違点は、ISMSが単に情報の“保護”という視点でリスクを見ているのに対し、プライバシーマーク(Pマーク)のほうは情報の“正しい取り扱い”という視点も加えてリスクを見ているという点にあります。
個人情報の正しい取り扱いを損ねるリスクとして挙げられるのは個人情報の目的外利用です。「目的外利用」とは本人の同意を得た利用目的以外で個人情報を使う行為のことです。
これは個人情報の本人が持つ自分の個人情報を自分の意図どおりに利用させる権利を侵害する行為となります。この行為は単なる不適合ではなく法令違反でもあります。したがってプライバシーマーク(Pマーク)を取得・更新している会社は目的外利用が生じないよう対策を講じる必要があるのです。
まとめ
個人情報保護におけるリスクは他にもありますが、今回挙げたようなリスクを中心に認識していくことが意味のあるリスク分析の土台となります。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]