リスクを構成する3つの要素【Pマーク取得の基礎知識】

プライバシーマーク(Pマーク)を取得している事業者であればすでにリスク分析を行い、必要に応じて更新しているものと思います。
「リスク」とは個人情報に関して起こりうる危険のことで、「リスク分析」とはその危険の度合いを評価することです。リスク分析は簡単な作業ではありませんが個人情報を守るうえで必要不可欠な作業ですので、面倒と思わずに実施する必要があります。
リスク分析の手法はいくつかあり、その中にはリスクの大きさを数値化する手法もあります。具体的にはリスクを決定する3つの要素を数値化し、それぞれ数値化したものを掛け算して、最終的に出てきた数値をリスクの大きさとする、という手法です。
リスクを決定する3つの要素とは以下のとおりです。
情報の重要度
会社として取得している個人情報の中には重要度が高いものもそうでないものもあります。もちろんすべての個人情報は重要なものですが、その量や取得している項目などによって重要性の度合いには違いが出てきます。また取得した情報が直接取得なのか委託なのか、あるいは公開された情報から収集してきたものなのかなどの違いによっても機密性は異なってきます。
重要度の高い個人情報ほど事故が発生した場合の影響度も高くなりますので、本質的に高いリスクを抱えていると認識なければなりません。
プライバシーマーク(Pマーク)のリスク分析では洗い出した個々の個人情報について極めて重要度の高いものを「3」、重要度の高いものを「2」、それ以外のものを「1」という具合で数値化していくことになります。
脅威
リスクを決定する二つ目の要素は脅威です。「脅威」とは個人情報に事故を及ぼしうる外的な要因のことです。
たとえば事務所に重要な個人情報が保管されているとします。重要な個人情報は本質的に高いリスクを抱えていますが、それが存在するだけでは事故に発展しません。ここに「情報の盗難を目的とした事務所への侵入」という不正な行為などが存在することで情報の流出という事故が起こるのです。この例でいうと「事務所への侵入」が脅威です。
リスク分析では脅威についても極めて発生しやすいものを「3」、発生しやすいものを「2」、それ以外のものを「1」という具合で数値化していくことになります。
脆弱性
「脆弱性」とは個人情報の保護や正しい取り扱いにおける欠陥のことをいいます。先ほどの例でいうと、事務所の施錠を忘れることなどが脆弱性に当たります。
リスク分析では脆弱性についても極めて発生しやすいものを「3」、発生しやすいものを「2」、それ以外のものを「1」という具合で数値化していくことになります。
まとめ
ここまででご紹介した数値評価の手法はプライバシーマーク(Pマーク)の要求事項にありませんので、プライバシーマーク(Pマーク)取得会社としてこの方法を採用するかどうかは事業者の自由です。
プライバシーマーク(Pマーク)(Pマーク)におけるリスク分析は情報セキュリティのリスク分析と異なり、単に情報の保護という観点だけでなく個人情報の本人の権利を守って取り扱うという観点からも分析を実施しなければなりません。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]