リスク分析表作成ツールは、こちらをご覧下さい。
- Pマークのリスク分析の目的には大きく分けて2つあります。
- 個人情報の目的外利用をさせない(しない)ための手順を確立して維持する。
- 個人情報のリスクを認識し、分析し、必要な対策を講じ維持する。
- そもそもリスクの「認識と分析および対策」とは何を認識して分析して対策をするのか?
- 何を認識する? 取扱っている個人情報と取扱上のリスクを認識する
- 何を分析する? 認識したリスクが起きた場合のリスクを分析する
- 何を対策する? リスクが起こらないようルールを定める
- 局面(ライフサイクル)
- ・「取得・入力」
- ・「移送・送信」
- ・「利用・加工」
- ・「保管・バックアップ」
- ・「消去・廃棄」
- リスク
- ・ 漏えい
- ・ 滅失またはき損
- ・ 法令や規範違反
- ・ 経済的不利益
- ・ 社会的信用失墜
- ・ 本人への影響などのおそれ
- ・ 滅失またはき損
- どのようにして取扱っている個人情報と取扱上のリスクを認識するのか?
- (1)【取得・入力】
「履歴書」や「職務経歴書」を人事課が本人から取得する。 - (2)【移送・送信】
「履歴書」や「職務経歴書」は、人事責任者に移送し選考の準備をする。 - (3)【利用・加工】
履歴書などの原本を利用して複写し、複写物を面接官に配布する。 - (4)【保管・バックアップ】
採用となった場合、履歴書などは保管し不採用の場合は、保管せずに廃棄(又は返却)する。 - (5)【消去・廃棄】
退職してから保管期間を経過した時点で履歴書などを廃棄する。 - 取得する履歴書に本籍地を記載する欄がある場合、その欄に本人が本籍地を記載し、その履歴書を取得すると「機微な情報」を取得することになり、
法令違反になる可能性がある。 - 人事責任者に履歴書を移送する場合、机上に置いておくと他の社員が持ち出す可能性があり、個人情報の漏えいにつながる可能性がある。
- 履歴書を複数の面接官に配布すため複写した場合、複写機に原本を置き忘れることで個人情報の漏えいにつながる可能性がある。
- 採用となった応募者の履歴書を他の書類と混同して保管した場合、間違えて廃棄する可能性があり滅失になる。また、施錠できない書庫に履歴書を保管すると、
誰でもアクセスすることが可能となり個人情報が漏えいした場合、本人の意図しないことに利用される可能性がある。 - 退職者の履歴書を保管期間が経過したので廃棄する場合、ゴミ箱に捨ててしまいそれが元で個人情報が漏えいする可能性がある。
- リスクの分析はどのように実施するのか?
- 機微な情報を取得して法令違反になると、罰則として罰金を科せられることがあり経済的不利益を被るほか、個人情報保護法を遵守していないことが公となり
社会的信用の失墜につながる。 - 移送する際に個人情報の漏えいが発生した場合、本人の意図しないことに利用される可能性がある他、漏えい事故を公表することで当社の社会的信用の失墜になる。
- 対策を講じるとは何か?
- 機微な情報を取得し、法令違反で罰金を科せられ経済的不利益を被る、および社会的信用の失墜とならないように、採用応募者には履歴書に本籍地を記述しないよう通知をする。
- 社内で個人情報が含まれる書面を移送する際に個人情報の漏えいが発生し、本人の意図しないことに利用されることを防ぐために、社内で個人情報が含まれる書面を
移送する際には必ず手渡しをする。 - 忘れてはいけない「残存リスクの認識」と「その対策」
- なぜリスク分析が必要なのか
- 審査で不適合を発見される原因
- 個人情報の全てに対してリスク分析を実施していない。
- ・ 個人情報管理台帳に記載されている個人情報名称に対するリスク分析表が無い。
- ・ リスク分析表に記載されている個人情報名称が個人情報管理台帳に記載されていない。
- ・ 個人情報管理台帳とリスク分析表で、異なる個人情報名称が使用されている。
- リスク分析の結果(講じることとした対策)が、安全管理措置規程などに反映されていない。または、逆に安全管理措置規程に定められている内容のリスク分析が実施されていない。
- リスク分析の結果が、どの規程に反映されているのか不明確。
- 個人情報の特定方法
- (1) 個人情報と思われる書面などを見つけ出して、その中から個人情報を特定する。
- (2) 業務の流れに沿って、その業務で取扱う個人情報を見つけ出す。
- 終わりに
このうち、b.は業務で取扱う全ての個人情報の局面(ライフサイクル)で、どのようなリスクの発生の可能性があるのか「認識」して、発生しそうなリスクがある場合、
どのようなリスクがあるか「分析」をして、リスクの発生を防ぐための「対策を講じる」ことです。
ここでは、b.について説明します。
答えは、次の通りです。
JIS規格では、業務で取扱う全ての個人情報の局面(ライフサイクル)でリスク分析の実施を求めています。
それが、以下の5つです。
また、リスクは以下の6つについて分析するよう求めています。
余談ですが、当然この他のことを対象に認識や分析を行っても問題はありませんが、Pマークを取得するにはこれ以上の認識や分析をしても「加点」はありません。
審査では、JIS規格が求めている事項の認識や分析をしていないことの「減点」しかないようです。
当社が推奨しているのは、JIS規格が要求する局面(ライフサイクル)に合わせて業務フローを作成し、各局面で取扱う個人情報を洗い出して(見つけ出して)から、
その局面でのリスクを認識する方法です。
例えば、社員の採用時に取得するであろう「履歴書」や「職務経歴書」を局面(ライフサイクル)に当てはめると、次のようになります。(あくまでも例です。)
これが、「履歴書」や「職務経歴書」の局面に合わせた業務フローの例です。
また、この段階で個人情報の名称も特定することができると思います。
上記の例では、「履歴書」「職務経歴書「複写物」の3つが個人情報になります。
次に、この個人情報を取扱う局面毎に【リスク】を「認識」します。
以上が「リスクの認識」の例です。
お気付きと思いますが、すべて「可能性がある」で終結しています。
ようするに、個人情報に「何が起こり得るか」など検討することを「リスクの認識」として捉えると、理解し易いと思います。
«リスクを認識する際の推奨資料»
経済産業省から配布されている「個人情報の保護に関する法律について経済産業分野を対象とするガイドライン」(平成21年10月9日)の29ページから33ページにかけて
【個人データの取扱に関する規程等に記載することが望まれる事項の例】があります。
ここでは、個人情報のライフサイクル毎に「講じるべき対策」の例が示されています。
例えば、「(1)取得・入力」には、「①作業責任者の明確化」として「個人データを取得する際の作業責任者の明確化」が掲げられています。
これを、「作業責任者が明確になっていなければ、どのようなリスクの発生が予測されるか?」と捉えると、認識すべきリスクのヒントが見つかると思います。
次のURLから入手することができます。
http://www.meti.go.jp/policy/it_policy/privacy/#02
この他にPマークの審査で「Cookeiなどのウェブバグの利用を制限しているか」などを問われることがあります。これは、逆をたどるとホームページでCookeiを使用しているか否か
認識をして分析をしなければならいことを意味しています。既に審査を受けているのであれば、審査結果が記述された書類を見直すと認識しなければならいない内容を見つけ出す
ことが可能になります。
認識したリスクが、実際に起こると「どうのようになるのか」を検討することがリスクの分析です。
前項3.で認識したリスクを例にすると、次のような検討結果を得ることができると思います。
(3)~(5)は割愛します。
このように認識したリスクが起きた場合の想定できる結果が「分析結果」とお考え下さい。
前項4.で得られた分析結果が起こらないようにするためのルールを策定することが「対策を講じる」ことになります。
太文字部分が、講じる対策となり、安全管理措置規程や個人情報取扱規程などに反映することになります。
<重要>
講じることとした対策は、必ず規程に反映して下さい。
対策を講じてもリスクは必ず存在しますので、これも認識しなければなりません。
例えば、「採用応募者には履歴書に本籍地を記述しないよう通知をする。」としていても、記述してくる人がいますので、「返却する」もしくは「採用選考時に本人に消し込みを促す」
などとします。
また、ルールを意識して破る輩もいるはずです。このようなリスクに対しては、「日常点検で未然に防ぐ」などとすることもあります。
<参考>
対策を講じる場合、高額な費用が発生することも予想されます。すぐに費用を捻出することができなければ、そのリスクを認識して、「いつまでに対策を講じる」とすることを残存リスク
に含めるケースがあります。
多くの企業では、「○○は、▽▽のように取扱う」「PCにはウィルス対策を講じる」などを定めていると思います。
この定めの根拠となるのが、リスク分析の結果です。
もう一つは、個人情報管理台帳に「利用目的」欄があり、「商品の取扱対応のため」などを記述していると思います。この根拠は、リスクの認識をする際に作成する、業務フローで特定
した利用する目的を反映します。
このようにリスク分析は、規程を作るときの根拠となる要素があるので必要になります。
手順としては、複数の方法があります。
※ この他の方法もありますが、今回は割愛します。
(1)は、在庫管理的に現在利用している個人情報を見つけ出すことから始めますが、(2)は、業務フロー(流れ)を作成して、その業務で利用する個人情報を見つけ出すように
しますので、入り口が異なります。
どちらの方法でも最終的には個人情報を特定できれば良いので、自社に見合った方法を採用します。
当社が推奨しているのは、(2)の方法です。その理由は、個人情報の特定とリスク分析を同じ工程で作業をすることができるためです。
Pマークの審査は、個人情報を保護すための仕組みが規格要求通りに作られ、実施され、点検され、見直しが実施されていることに対して実施されます。
規格要求通りに仕組みを作るためには、リスク分析は最重要な事項の一つです。
よって、審査でのチェックも厳正に行われますので、規格要求事項を理解した上でリスク分析を実施して下さい。