第130回 残存リスクって、なんですか?
2006年版JIS(JISQ15001:2006)の大きな変更点の1つ、リスク分析について続けます。
ではさっそく、問題です。
質問: リスクを全て洗い出して、それぞれに対策を実施したら、
リスクはなくなるか?
回答: (1) ○ (2) ×
リスクはなくなるか?
回答: (1) ○ (2) ×
さて、○でしょうか?×でしょうか?
答えは×です。
「えっ?リスクをなくすために、リスク対策するんでしょ?」
うーん・・・ちょっと違うんです。
「リスクをなくすため」ではなく、
「リスクを小さくするため」なんです。
■残存リスク登場
2006年版JISが制定される以前から、プライバシーマークの現地審査の質問では・・・
「残存リスクは、どのように管理していますか?」
という質問が一般的になっていました。
「えっ?ザンゾン・リスク?」
実は、残存リスクという言葉は、いくら1999年版JIS(JISQ15001:1999)をめくっても、一言も出てきません。
不思議なことに、審査ではあたりまえの質問だったのです。
ですから、
「残存リスクって、なんですか?」
と審査員に質問しても、丁寧に教えてもらうことができました。
2006年版JISの解説には、残存リスクの記述が加えられました。
こう書いてあります・・・
全てのリスクをゼロにすることは不可能であるから、現状で取り得る対策を講じた上で、未対応部分を残存リスクとして把握し、管理しなければならない。
もう「残存リスクって、なんですか?」と質問するようでは、合格の見込みは極端に低くなるでしょう。
■リスク対策しても、残るリスク。
さて、
「できる限りの対策を考えているのに、その上で、まだ残っているリスクを考えるなんて、できません。」 中にはこうおっしゃる方もいます。
では、具体的に残存リスクを考えましょう。
例えば、営業部が管理する顧客リストの保管について。
顧客リストを誰でも出入り可能な場所にある、オープンキャビネットに置いていたらどうでしょう?
そうですね、外部の人間や従業者による不要な閲覧、持ち出し、紛失などのリスクがあることが分かります。
そこで、従業員のみが出入り可能なスペースにある、施錠できるキャビネットに保管することにします。
営業時間中には、頻繁に書類を取り出すのでキャビネットの施錠はせず、営業部の最終退出者は退社の際に、キャビネットに施錠することとします。
これで、外部の人間による不要な閲覧などのリスクは、グンと小さくなりますね。
しかし、営業時間中は施錠保管しておらず、従業員であれば、誰でも顧客リストを閲覧したり、持ち出したりすることができますから、リスクがなくなったわけではありません。
これが、残存リスクです。
つまり、リスク対策はしたけれど、ゼロにはなっていない。
だから、少しでもリスクをゼロに近づけるために、残存リスクを管理する必要があるのです。
で・・・結局、何すればいいの?ってことなんですが・・・。
■残存リスクを記録して、見直そう
残存リスクを、「ふーん、そうか・・・」で終わらせないために、やる事があります。
(1)残存リスクを記録して
(2)管理者が承認し、
(3)監査などで定期的に残存リスクを見直す
ことが必要です。
(1)残存リスクを記録して
1度リスク分析をして、残存リスクを把握しても、記録しなければ、忘れてしまいます。
残存リスクを忘れないように、リスク分析シートなどに残存リスクの欄を1列追加しましょう。
(2)管理者が承認し、
残存リスクは、そもそも、現段階で出来る対策を講じた上で残るリスクです。対策不足がないか、管理者が承認する必要があります。
(3)監査などで定期的に残存リスクを見直す
残存リスクは、定期的に見直さなければなりません。
顧客リストの保管の例では、利便性を考えて、営業時間中は施錠保管していませんでした。さらに、従業員であれば、だれでもアクセスできる状態でした。
もし、この状態で何か問題が起こるようであれば、営業時間中も施錠保管するなど、残存リスクを見直し、さらなる対策を講じていかなければなりません。
リスク分析は、一度やっておしまいではありません。
そのリスク分析は、そのときの状態で実施したものであり、
従業員数やオフィスレイアウト、業務内容など、個人情報を取り巻く環境は変化しています。
定期的に残存リスクを見直し、リスク分析をし直すことで、個人情報保護のレベルをスパイラルアップしていくことが求められています。
