4つに分類されるPマークのリスク対応

プライバシーマーク(Pマーク)を取得・更新している会社であれば、日々の個人情報保護に関係するリスクを見極め、それに対する対策を講じているはずです。
「リスク」とは個人情報保護マネジメントシステムに及ぶ可能性のある望ましくない影響のことですが、リスクは単に分析するだけでなく何らかの対策を講じなければなりません。
プライバシーマーク(Pマーク)取得会社が取りうるリスク対応策は主に以下の4つがあります。
リスクを低減する
「リスク低減」とは、リスクの原因となる脅威の発生可能性を下げることです。プライバシーマーク(Pマーク)の取り組みにおいては、ほとんどの場合リスクに対してまず考慮すべきなのはリスクを低減するための策を講じることです。
たとえば個人情報が他のものに盗まれないように施錠管理するまたはパスワードをかけて保管したり送信したりするなどの対策がリスク低減となります。
またバックアップを取っておくなどもリスク低減です。この場合リスクを完全に防止することはできませんが、問題が発生したときに備えてリスクの影響を最小限にとどめることができます。
リスクを保有する
「リスク保有」とは、その結果も考慮したうえでリスクを受容することです。
このようにして保有することにしたリスクのことをプライバシーマーク(Pマーク)(Pマーク)においては「残留リスク」と呼びます。もちろんリスクが顕在化した場合に破壊的な影響が及ぶような場合は何らかの対策を講じなければなりません。
とはいえリスクの影響度を考慮した結果受け入れられると判断したリスクに対しては必要最低限の対策を講じたうえでそのリスクを残存させるという選択もあるのです。
リスクを回避する
「リスク回避」とは、リスクの源を取り除く、またはリスクが生じる行動を取らないことによりリスクが発生しないようにすることです。
一例として個人情報を第三者提供したり共同利用したりすることにはそれなりのリスクが伴います。もっとも目的があって提供や共同利用をするわけですが、プライバシーマーク(Pマーク)取得会社によってはそのリスクの大きさを考慮した結果、第三者提供や共同利用自体を中止するということもありえます。
リスクを回避すればリスクそのものが消滅する場合もありますので、これも一つのリスク管理策と言えます。
リスクを移転する
「リスク移転」とは、リスクとその影響を他の者の管理下に移すことです。
たとえば保険を掛けることで、万が一トラブルが発生しても自社に生じる責任を回避できるという場合があります。もちろんすべてのリスクが移転可能なわけではありません。主に金銭的損害などのリスクがリスク移転の対象となります。
まとめ
その他、従業員の教育からウイルスソフトの更新などの対策まで、すべての対策が以上のいずれかのリスク対応策に分類されます。
プライバシーマーク(Pマーク)を取得する際だけでなく取得後も定期的にリスクの対応策を見直し、適切にリスクに対応しているかを確認するのがよいと言えるでしょう。
★こちらの記事もおすすめです!
→【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]