原因は1つじゃない！／Pマークにおけるインシデント対応

個人情報にかかわるインシデントが発生したときー。あなたの会社はどうしますか？

もちろん事態を収拾するためにいち早く応急的な処置を施し、被害を食い止めて業務を復旧させることが重要です。しかしプライバシーマーク（Pマーク）のインシデント対応はそれだけでは足りません。インシデントの本来の対応とは、その後原因を明らかにし、事故の原因自体を除去するための是正処置を施すことです。

プライバシーマーク（Pマーク）の取得審査や更新審査ではそのような是正処置を適切に実施しているかが確認されます。とはいえインシデントの原因究明は簡単ではありません。原因はいつも一つとは限らないからです。

インシデントの原因を探るときは少なくとも以下の3つの側面から原因となる要素がないかを調査することが重要です。

組織面に問題があったのか

インシデントの原因は常に多面的に調査すべきです。原因の一つに組織面の問題があります。

個人情報保護マネジメントシステムという言葉があるようにプライバシーマーク（Pマーク）取得会社は個人情報を保護するための組織体制を構築することが肝要なのですが、時に組織体制がうまく構築されておらず、それが原因で個人情報セキュリティインシデントが発生してしまうこともあるのです。

まずは責任や権限が正しく割り当てられているか、またインシデントが発生した業務または作業においてルールが十分に設けられていたかを確認する必要があります。

人的な面に問題があったのか

インシデントが人為的ミスによって発生するケースは珍しくありません。この場合、当該業務を担当する従業員が正しく手順を把握しておらず、それが原因でインシデントが発生するケースもありますし、手順が周知されていたにもかかわらず従業員の認識不足でインシデントが発生してしまうということも考えられます。

いずれにせよプライバシーマーク（Pマーク）取得会社はこのような事例を防止するために日ごろから従業員のセキュリティ教育と監督を実施すべきです。

設備・システム面に問題があったのか

プライバシーマーク（Pマーク）取得会社は個人情報保護に必要な設備やシステムをできる限り投じることが期待されます。もちろんどの程度投じるかはリスクアセスメントの結果に基づいて会社が決定します。

とはいえ必要な設備やシステムが投じられていないと、インシデントが発生しやすい状況が生じてしまうことも考えられます。

また設備やシステムが導入されていても、それが正しく設定されていなかったり必要な機能を活用していなかったりすると、やはりそれが原因で個人情報セキュリティインシデントが発生してしまうこともあります。

まとめ

プライバシーマーク（Pマーク）を取得・更新している会社は個人情報の漏えいやき損、滅失などのインシデントが発生した場合、その原因を正確に特定するよう努力しなければなりません。

その際、原因は一つではなく複数ありえることを念頭に置き、その原因に対応した是正処置を講じることが重要であることを忘れないようにしましょう。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】