第129回 追加になったリスクとは?
プライバシーマークに取り組んでいるあなたは、もうご存知ですね。
では、ちょっとお聞きします。
質問: リスクとは、個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなどである。
回答: (1) ○ (2) ×
回答: (1) ○ (2) ×
さて、○でしょうか?×でしょうか?
○だと思う方。
2006年版JISを、読んでいませんね。
おめでとうございます!新しく学ぶチャンスがきました。
×だと思う方。
正解です。
では、他にどんなリスクがあるのでしょうか?
■追加になったリスクとは・・・
質問でお聞きした「リスクとは、個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなどである。」とは、1999年版JIS(JISQ15001:1999)に記載されているリスクです。
4.3.1 個人情報の特定
事業者は、自ら保有する・・・(中略)・・・特定した個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど)を認識しなければならない。
事業者は、自ら保有する・・・(中略)・・・特定した個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど)を認識しなければならない。
これに対して2006年版JIS(JISQ15001:2006)では、次のように記載しています。
3.3.3 リスクなどの認識、分析及び対策
(前略)・・・事業者は、3.3.1によって特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。
1999年版のリスクに加えて・・・
関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などが追加されています。
つまり、情報資産として守るだけでなく、コンプライアンス違反をしないことも必要、ということ。
例えば、本人に利用目的について何も説明しないまま、個人情報を本人から直接書面で取得し、DMを送ったとします。
これによって、情報が漏えいしたり、紛失したりするリスクはありません。
しかし、プライバシーマークでも個人情報保護法でも、本人から直接書面で個人情報を取得する場合は、利用目的等について本人に明示する必要があるとしていますから、法令違反になるわけです。
もちろんプライバシーマーク取得企業なら、
「プライバシーマーク取っているくせに、何やってんだ!?」
ということになりますね。
これで、リスクとして認識すべきものが増えたことは分かりましたね。
では、・・・何をすればいいのか?ということですが・・・
■やっぱり?・・・リスク分析をやり直し、なのだ!
1999年版JISでプライバシーマークを取得している企業の多くは、おそらくリスク分析をする際、2006年版JISで追加されたリスクについて認識していないと思います。
そこで、改めて認識するリスクを追加して、リスク分析をやりなおす必要があります。
「えっ~!あんなに大変な思いでリスク分析したのに、またやらなきゃいけないのか・・・。」
ちょっと待ってください!
リスク分析は、一度やったらおしまいではありません。
定期的に見直す必要があります。
これも、2006年版JISで追加されたことです。
ともあれ、プライバシーマークを取得するなら、コンプライアンス違反に関するリスク分析も必要です。
これから作業を開始する方も、もう始めているけどコンプライアンス違反についてはやっていなかった方も、リスクの認識を深めてください。
