横浜産業新聞
larger smaller reset larger
Home arrow ホーム arrow ヘッドラインニュース arrow プライバシーマーク入門講座(連載:第11回)

注目記事

先進企業のCSR


広域産学連携


100年企業の条件


MH_cornor


SP_cornor

RSS配信

プライバシーマーク入門講座(連載:第11回) プリント
2007/09/24 月曜日 17:45:16 JST
「個人情報保護マネジメントシステム」の構築に向けて(第6回)
   ~内部規定の作成(第3回)(リスク分析:その1)~

リスク分析については、今回から3回に分けて示す。
c)個人情報に関するリスクの認識、分析及び対策の手順に関する規定
JIS 3.3.3リスクなどの認識、分析及び対策”に規定された事項である。
まず、リスク分析の大まかな手順を述べ、その後で、リスク分析の詳細の考え方を述べたいと思う。
JIS 3.3.3では“特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響のなどのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し・・・”と規定している。

“リスク分析”というと、ITの関係者の方には“ISMSにおけるリスク分析”が脳裏に浮かぶかもしれないが、かなり異なったアプローチであることを認識する必要がある。
まず、“ISMSにおけるリスク分析”を経験された方のために、その違いのポイントを述べておく。


) “ISMSにおけるリスク分析”との違い
pm11-1l.gif
ⅱ) JIS Q 15001のリスク分析の手順

 下記の図は第8回の記事に示したもので、その中でリスク分析の流れの部分を強調したものである。
pm11-2l.gif
 リスク分析の手順の大きな流れは、下記となる。
  1. 特定した個人情報について、その個人情報のフロー(ライフサイクル)に沿っての、個人情報の取扱いの局面(取得・移送・利用・提供・廃棄・・・)を特定する。
  2. 夫々の取扱いの局面で想定されるリスクを特定する。
  3. 想定されたリスクに対して、リスク対応策(安全管理策)を検討する。
  4. リスク対応が可能な場合は、実施する安全管理策を決定する。
  5. 実施が決められた安全管理策は、規定に文書化する。(守るべきルールとして明確化する)
  6. 規定として文書化したことの管理や、リスクの見直し時の情報として、文書化した規定の名称、項番等を「リスク分析表」に記入する。
  7. 十分なリスク対応が出来ない場合は、「残存リスク」として明確化すると共に、今後の改善の対象とする。
 JIS Q 15001で要求されるリスク分析の手順は、概略上記のものとなるが、現実的には、全てを個人情報のフロー(ライフサイクル)に沿ってリスク分析を行なうのではなく、後述するように、ベースラインアプローチに基づいたリスク分析を併用した方が現実的・合理的なリスク分析が実施できる。
詳細については、次々回の「リスク分析の現実的アプローチ」で示す。
手順書としては、上記の手順をいわゆる5W1Hを考えて記述するが、夫々の内容をより具体的な手順として規定できるように、次回にはリスク分析の考え方を示す。

(中小企業診断士 中村 隆昭)

 
< 前へ   次へ >

支援企業・団体

連載/コラム

広告主募集

 
ホーム  |  スタッフ募集
Copyright 2004-2007 横浜産業新聞 - 横浜における情報産業の情報発信「ハマビズ」 - All rights reserved.
横浜産業新聞に掲載の記事・写真・図表などの無断転載を禁止します。
著作権は横浜産業新聞またはその情報提供者に属します。