2008/02/24 日曜日 16:18:39 JST |
~リスク分析における、想定リスクを考える~
JIS Q 15001/プライバシーマークにおけるリスク分析では、詳細リスク分析を行うことを要求している。
リスク分析における成否は、個人情報の取扱いの各局面において"想定されるリスク"(万一に起こり得る事故)を如何にきめ細かく、網羅的に想定できるかにかかっていることを認識してほしい。
リスクの状況(万一に起こり得る事故)が正しく想定されなければ、対応策として立てられ実施される安全管理策が正鵠を得たものとならず、リスクが顕在化し事故が発生することを予防できないこととなる。
当然、"想定されるリスク"(万一に起こり得る事故)を特定する前に"個人情報の取扱いの局面"をどれだけきめ細かく想定してリストアップできるかが、その後の "想定されるリスク"(万一に起こり得る事故)がどれだけ網羅的に、きめ細かく特定できるかに関係してくる。
個人情報の取扱いの局面を想定してリストアップするためには、個人情報の取得から廃棄までの流れを追って、夫々の取扱いの局面をきめ細かくリストアップしてゆく。
―きめ細かく、具体的に、網羅的に、がキーワードである。―
そこで、検討において漏れやすいのが、社外における個人情報の取扱いの局面である。
例えば、個人情報の取得を社外において行なう場合を考えて見よう。
展示会の会場でアンケートと共に個人情報の取得を行なっている場合、キャンペーンで現地で申込書を受け付けている場合、セミナーを主催して、セミナー会場で個人情報を取得している場合、また、個人のお宅にお邪魔して、申込書に記述して頂いている場合・・・・・と沢山の状況が考えられるが、先ずは、貴社の業務の中でどのように個人情報の取得を行っているのかをつぶさに調査する必要がある。
次に、その個人情報の入った書類等の持ち帰り(移送)の局面がある。
社用車を使うのか、公共交通機関を使うのか、徒歩で移動するのか、それとも個人情報を取得した場所からセキュリティー便等を利用して移送を委託するのか・・・・・、移送手段により、想定されるリスクの内容も変わってくる。
次に、会社内での個人情報の取扱いの局面がある。
この中には、利用、保管、移送等が含まれてくる。
社内での利用の局面におけるリスクについては、執務場所としてのリスク、情報システムにおけるリスク、保管におけるリスク、社内移送、委託先への移送、顧客への移送、等々をサブの局面として捉え、これらのサブの局面におけるリスクも含めて考える必要がある。
更に、これらの各々に対して、更に具体的な個別の状況を想定した取扱の局面を特定する必要がある。
情報システムに関しての取扱の局面としては、入力、保管、閲覧・利用、送受信、等々、多くの局面があり、それぞれにリスクが存在する。
また、利用においては、持ち歩きの局面もある、忘れないようにしてほしい。
学校の先生が家庭訪問で生徒の個人情報を持ち歩く、ケアマネージャが被介護者の個人情報を持ってお宅に伺う、現場で工事を行なう場合に工事の指示書を持って現場に行く、配送において配送先の情報を持ってゆく・・、夫々の状況により個人情報の漏えいや紛失のリスクがあり、夫々の個人情報の取扱いの局面の状況をきめ細かく調査して、リスクを特定する必要がある。
廃棄も個人情報の取扱いの局面である。
社内で処理するのか、廃棄業者に委託するのか、自分たちがごみ焼却場に持ち込み、焼却サイロに投入するのか、・・・・・、色々な方法があり、夫々の処理の過程にも取扱の局面がある。
更に、廃棄するものを確認し、間違った廃棄(捨ててはいけないものを捨ててしまう)をしてしまうリスクもあり、局面としては、廃棄書類の確認の局面もあるかもしれない。
また、廃棄の記録を残さなかったために、後日、個人情報が無くなっている事に気づき、その個人情報を間違いなく廃棄したのか、紛失・盗難に遭ったのかが分からず(間違いなく廃棄したことが証明できず)、紛失・盗難として処理しなければならなくなってしまった事例もある。
とても、ここでは書き切れるものではないので、貴社の個人情報の取得から廃棄までの流れの中で、実際にどのような取扱いが行なわれているのかを、漏れなく、きめ細かく、具体的に検討し、個人情報の取扱いの局面として特定することが重要であることを述べておく。
繰り返すが、このような個人情報の取扱いがある局面をキチット特定できないと、その局面(その場その場)において起こり得る事故(想定されるリスク)を具体的に特定することができず、リスク分析を行っても何の役にも立たないものとなってしまう。
次に、夫々の取扱いの局面において、想定されるリスクを特定する訳であるが、想定されるリスクという言葉を使うよりも、その局面、すなわち夫々の場面々々で「万一に起こり得る事故」と考えた方が想像力が働くかもしれない。
ここでは、どんな些細な事であっても事故に結びつく可能性のあるものは全てきめ細かく特定する必要がある。
そして、それが顕在化して事故に結びついた時の影響や、適用可能な技術、予算、等々も勘案して検討を行い、採用するリスク対応策(安全管理策)を決めて行くことになる。
さて、ここでは、夫々の局面で想定されるリスク(起こり得る事故)を特定してゆく上においての留意点を述べてみたい。
世の中、人間が生きて行く上においては色々なリスクに遭遇する。
個人情報の保護においても、考えられないようなリスクに遭遇するかもしれない。
色々な可能性を探るために、想定されるリスク(起こり得る事故)を考える場合、色々な切り口から迫る必要がある。
下記する事項は、相互に関連している部分もあるが、きめ細かくリスクを想定し、特定して行く上においては発想のための出発点になる。
A)"ミス"と"犯罪"を峻別して考える。
先ず、従業者が犯す"ミス"と"犯罪"の二つの面を分けて考えることが必要である。
当然、ミスが結果として犯罪に結びついてしまうことが多いが(鍵を掛け忘れたので泥棒が入った)、先ずは、最初のトリガーとなる、ミスを犯すことをリスクとして考える。
① 従業者が犯すミス
・ FAXの誤送信、メールの誤送信・・・・・
・ データ入力における、入力ミス、ご操作・・・・・
・ 紛失、・落とす、・置き忘れ・・・・・
想定する場所、状況には色々あり対応策は異なる。
駅の切符売り場に置き忘れる、電車の網棚に置き忘れる、レストランに置き忘れる・・・
配達の途中で、荷台に伝票を置いておいて風に飛ばされる・・・
・ 鍵を掛け忘れる、・決められた所に保管しない、・コンピュータのID、PWを設定しない、・ウイルスのパターンファイルをアップデートしない、・・・・・・
これらは、従業者が安全管理策として決めた"決め事"(手順、注意事項、ルール等)を守らなかった為か、事前にリスクとして認識・特定がされていなかった為に"決め事"が決められていなかった場合や、"決め事"(手順、注意事項、ルール等)が適切でなかった場合にも発生する。
② 犯罪
犯罪は大きく分けて、外部者と内部者、更に内部者を2つに分けて、権限の無い者と権限者による犯罪を考えることが必要である。
また、残念なことではあるが、犯罪の発生状況から見ると、内部者の中を、正社員と外注者に分けて考えることも必要である。
犯罪 ┳ 外部者
┗ 内部者 ┳ 権限者 ┳ 正社員
┃ ┗ 外注者
┗ 無権限者 ┳ 正社員
┗ 外注者
特に権限者が起こす犯罪は、被害の程度が大きく、公表されている個人情報に関する大事故においては、権限者またはかっての(退職した)権限者がからんでいたものが多く、権限者が起こす犯罪に対しては、経営者が自ら方針を設定し、対処してゆくことが必要である。
犯罪を考える場合、犯罪の発生場所も分けて考えると良い。
大きくは、社内と社外である。
・ 社内で発生する犯罪
この中には、事務所への侵入・泥棒のような外部から社内に対するものもあれば、外来者や社内の権限が無い者が、個人情報を盗すんだり、単に盗み見るようなものもある。
また、犯罪の内容としては、財物の盗難を伴うもの、情報の盗難だけのものがあり、情報だけの盗難としては、持ち込んだ電子媒体への複写や、ネットワーク経由の送信、盗み見て覚えて持ち出す等々がある。
たまたま(事務所に入ってきて)目にした情報を盗むということもある。
また、電話をして、なりすましによる個人情報の詐取を行う等もある。
また、ソーシャルエンジニアリングによるものもある。
これらを検討する上においては、上記のように、外部者、内部者の権限の無い者、内部の権限者等による犯罪の違いを認識すると共に、リスクも、また対応策も昼と夜では異なることが多いことにも注意を要する。
・ 社外で発生する犯罪
窃盗、置き引き、車上荒らし、引ったくり、等々、従業者が個人情報の取扱い(ハンドリング)を適切に行なわなかった為にミスが犯罪を誘発する場合もあるし、ルールを守った取扱いを行なっていた場合でも強奪に会うこともある。
B)故障や災害によるリスクを考える。
個人情報の保護においては、個人情報を最新の状態に保ち、本人がサービスの提供を継続して受けられるようにすることも必要である。(個人の権利の保護)
機器の故障や災害・自然災害による情報システムの破損、個人情報の喪失等もリスクとして想定することが必要である。
また、個人情報のメンテナンスが適確に行なわれないために、個人情報の正確性が保てないこともリスクである。
災害としては一般的な、地震、火災、漏水、停電、等々に含め、特殊なものがあればそれも考える。
故障としては、コンピュータシステムの故障、ネットワークの故障、入退制限システム等の安全管理機器の故障、等々も検討の対象にすることが望まれる。
C)個人の権利が保てないリスクを考える。
個人情報の保護の基本は、本人の基本的権利の保護である。
OECDの8原則にあるような、個人の権利を保障できなくなるリスクも想定し、対応策を立案し、確実に実施なければならない。
簡単な所では、例えば、本人の同意が得られていない個人情報の利用が行なわれてしまうリスクがある。
同意を取得しなかったことにより、消費者からクレームを受けたり、訴えられることもあり得る。
以下に、OECDの8原則を掲載する。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
―【外務省「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告(1980年9月)(仮訳)】より―
第2部 国内適用における基本原則
(収集制限の原則) 1.個人データの収集には制限を設けるべきであり、いかなる個人データも、適法かつ公正な手段によって、かつ適当な場合には、データ主体に知らしめ又は同意を得た上で、収集されるべきである。
(データ内容の原則) 2.個人データは、その利用目的に沿ったものであるべきであり、かつ利用目的に必要な範囲内で正確、完全であり最新なものに保たれなければならない。
(目的明確化の原則) 3.個人データの収集目的は、収集時よりも遅くない時点において明確化されなければならず、その後のデータの利用は、当該収集目的の達成又は当該収集目的に矛盾しないでかつ、目的の変更毎に明確化された他の目的の達成に限定されるべきである。
(利用制限の原則) 4.個人データは、第9条により明確化された目的以外の目的のために開示利用その他の使用に供されるべきではないが、次の場合はこの限りではない。(a) データ主体の同意がある場合、又は、(b) 法律の規定による場合
(安全保護の原則) 5.個人データは、その紛失もしくは不当なアクセス、破壊、使用、修正、開示等の危険に対し、合理的な安全保護措置により保護されなければならない。
(公開の原則) 6.個人データに係わる開発、運用及び政策については、一般的な公開の政策が取られなければならない。個人データの存在、性質及びその主要な利用目的とともにデータ管理者の識別、通常の住所をはっきりさせるための手段が容易に利用できなければならない。
(個人参加の原則) 7.個人は次の権利を有する。(a)データ管理者が自己に関するデータを有しているか否かについて、データ管理者又はその他の者から確認を得ること (b)自己に関するデータを、(i)合理的な期間内に、(ii)もし必要なら、過度にならない費用で、(iii)合理的な方法で、かつ、(iv)自己に分かりやすい形で、自己に知らしめられること。 (c)上記(a)及び(b)の要求が拒否された場合には、その理由が与えられること及びそのような拒否に対して異議を申立てることができること。 (d)自己に関するデータに対して異議を申し立てること、及びその異議が認められた場合には、そのデータを消去、修正、完全化、補正させること。
(責任の原則) 8.データ管理者は、上記の諸原則を実施するための措置に従う責任を有する。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
D)法令、国が定める指針その他の規範に対する違反を起こしてしまうリスク
(コンプライアンス違反のリスク)
上記の「個人の権利が保てないリスク」と重複する部分もあるが、個人情報の取扱いの夫々の局面において、"法令、国が定める指針その他の規範"に対する違反を起こしてしまうリスクを考える必要がある。
コンプライアンス(法令等の遵守)が行なわれていないために、行政から指導を受けたり、万一の事故が発生した場合に、法令等の遵守が行なわれていなかった場合には、行政による処分も受ける。
E)次に、少し見方を変えて、下記のような、ある特定の切り口からリスクを想定すると、リスクの想定における漏れが減る。
1)事務所や事務所内のサーバー室や重要書類保管室等、物理的な安全管理策の側面から見る。
例えば、事務所のレイアウトからくるリスク、施錠管理におけるリスク、外部者の日中/夜間の侵入のリスク等々。
2) コンピュータ関連として見る。
社内に在るコンピュータシステム、社外に設置している(レンタルしている)コンピュータシステムを含めて、PC端末関連、社内サーバー関連、リモートに設置されたサーバー関連、ネットワーク、のような切り口から検討して見るのも良い。
社内のPCやサーバーへのID、PWの設定、ウイルス対策、自社のサーバーに対するネットワークからの侵入、ホームページへのアタック(SQLインジェクション、クロスサイトスクリプティング・・等々)や、オープンなネットワーク上での漏えい、改ざん、破壊、なりすまし等々も考える必要がある。
F)委託におけるリスク
委託を行なうということは一つのリスクと考えるべきであり(委託を行なう方が安全である場合も多々存在するが)、また委託先における個人情報の取扱いの各局面におけるリスクも考えられる。
委託先における個人情報の取扱いの各局面におけるリスクを、貴社としてどこまで想定し、把握して、相手に対して対応策(安全管理策)の実施を要求して行くかであるが、委託先で事故を起こした場合も貴社の責任が逃れられないことを考えると、疎かにはできない。
G)その他として、説明責任が果たせないというリスクもある
例えば、個人情報のファイルが一冊見当たらないという状況があったとき、廃棄において廃棄の記録が作成されていなかったために、そのファイルを正しく廃棄したのか、盗難に会ったのかが明確に証明できず、盗難の可能性があるということで公表をせざるを得なくなった事例もある。
以上、想定されるリスク(万が一に起こり得る事故)を色々な観点から考え、きめ細かく、漏れなく特定してゆく上でのアプローチについて述べたが、上記に例示したものは起こり得るリスクのほんの一部であり、貴社における個人情報の取扱いの各局面における、個人情報の取扱いの状況(実態)を詳細に検討し、また想像力を働かせて、万が一に起こり得る事故をきめ細かく、漏れなく、具体的に特定してゆくことが必要である。
万が一に起こり得る事故の特定においては、先ずは、世の中で発生した事故事例に学ぶことが第一である。
事故事例はインターネットで検索することにより、新聞に発表されていないような軽微な事故も含めて知ることができる。
少なくとも世の中で一回でも事故が発生していれば、それが貴社に対して起こらないという保証はない。できる限りの対応策を立てることが、個人の権利を保障すると共に、貴社を守ることとなる。
リスク分析は、先ずは、貴社が抱える個人情報の取扱いに関するリスクを正しく、正確に認識することから始まる。
貴社の業務の遂行において個人情報を取扱わないで済む場合は、個人情報の取扱いは止めるべきである。
"想定されるリスク"と"リスク対応を行なうためのコスト"それに"リスクが顕在化して事故に結びついた場合の本人と貴社における損害"を冷静に検討し、個人情報を取扱うのか、またどのようなリスク対応策を行なうのかを決めてゆくことになるが、リスクが顕在化して事故が起こった場合、被害を被るのは貴社だけでなく、先ずは本人(個人、情報主体)が被害を被るのであり、場合によっては金銭に換算できないような精神的被害を被ることがあることを認識すべきである。
リスクが想定されたら、次に行なうのは、リスクへの対応策(安全管理策)の検討である。
リスクへの対応策(安全管理策)の検討については、また回を改めて、いつか述べてみたいと思う。
(中小企業診断士 中村隆昭)
|