西山

Pマークリスク分析の5つのポイント


 

リスク分析の方法はプライバシーマーク(Pマーク)取得会社によって様々ですが、ここでは重要なポイントとなる5つの点を取り上げていくことにします。

 

ライフサイクルに沿ってリスクを明確にする

個人情報にはライフサイクルというものがあります。ライフサイクルとは個人情報が会社に入ってから出ていくまでの過程のことをいいますが、その中には「取得」から始まり「利用」や「移送」、「保管」、そして「廃棄」に至るまでいくつかの局面があります。

ここでプライバシーマーク(Pマーク)取得会社が認識すべきなのは、一つの個人情報にもライフサイクルの局面ごとに複数のリスクが潜んでいるという点です。

リスク分析の際は一つの個人情報に対して一面的にリスクを洗い出すだけでなく、その個人情報の個々のライフサイクルの局面を想定し、そこから生じる可能性のあるリスクを明確にする必要があるのです。

 

運用面で活用できるリスク分析表を作る

プライバシーマーク(Pマーク)におけるリスク分析は、“分析したら終わり”ではありません。せっかく作成するのですから、それをその後のプライバシーマーク(Pマーク)の運用に役立てなければもったいないのです。

リスク分析から導き出された安全管理措置や残存リスクをリスク分析表に反映させ、運用していく中ですぐに参照できるようにしておくのが望ましいでしょう。

 

リスクと対策に関連性があるかを確認する

プライバシーマーク(Pマーク)における安全対策の基本的な考え方は、先にリスク分析を実施し、その結果から安全対策を導き出すというものです。ですからリスクと対策には関連性がなければなりません。

 

“適切な取り扱い”に関するリスクも洗い出す

個人情報に生じるリスクとしてよく挙げられるのは、「情報漏えい」とか「紛失」とか「改ざん」など、情報が“守られない”ことで生じる問題です。

もちろん個人情報については情報の“保護”も重要なのですが、プライバシーマーク(Pマーク)における個人情報保護にはそれ以上のことが関係します。情報が“適切に取り扱われない”ことで生じる問題もリスクとして挙げなければならないということです。適切に取り扱われないことで生じる問題とは要するに目的外利用や法令違反などの行為のことです。

情報資産を保護するという観点でのみリスク分析を実施すると、目的外利用などのリスクが出てきませんが、そのようなリスク分析では不十分ですし、プライバシーマーク(Pマーク)の更新審査などの際にも不適合として指摘されるかもしれません。

 

数値評価は必ずしも必要ではない

プライバシーマーク(Pマーク)が求めるリスク分析については、必ずしも数値評価によらなければならないわけではありません。もちろんリスクの度合いを数値で評価する方法も可能ですが、実際は自社にとって適切な方法で行えばよいということです。

 

まとめ

以上、リスク分析についてプライバシーマーク(Pマーク)で要求されている点を実行するうえでポイントとなる点をお伝えしました。参考にしていただけましたら幸いです。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山