目的外利用を行わない為、必要な対策を講じる手順を確立し、かつ、維持するように規定している。
●目的外利用を行わないための手順を実施している。
現地審査の着眼点
利用目的の特定3.4.2.1、利用に関する措置3.4.2.6に盛り込んでいる。
審査項目
洗い出された個人情報について、ライフサイクルに応じてリスクを洗い出し、リスク分析を実施し、リスクに応じた対策を講じ、残存リスクを把握する手順が明白である。
●定めた手順に従って、リスクを認識し、分析し、対策を講じる。
現地審査の着眼点
定めた手順に従い実施している。
運用確認のエビデンス
リスク分析表等、リスクの認識、分析及び対策を実施した記録
●個人情報毎のライフサイクルに従って、リスクを認識し、分析し、対策を講じ、残存リスクを把握している。
現地審査の着眼点
- 個人情報を取り扱う業務の流れが明らかになっており、取り扱いの局面におけるリスクを具体的に認識している。
- 立案した安全対策や把握した残存リスクをリスク分析表などに反映させ、かつ運用面で確認できる。
- 認識したリスクと、対策の関連付けが明確である。(明確でなければ見直しが出来ない。)
- 個人情報は取得および利用面での適正な取り扱いが求められる。情報資産を守るという観点からだけの、リスク認識、分析及び対策になっていない。
- 個人情報の漏洩、滅失、毀損の他に、法令・国が定める指針等に対する違反等も必要に応じてリスクとして認識している。
運用確認のエビデンス
リスクの認識、分析及び対策を実施した記録
●リスク対策は事業者の代表者の決定している。
現地審査の着眼点
定めた手順に実施している。
●講じることとした対策は規程に反映させている。
現地審査の着眼点
講じることとした対策は規程化されている。
運用確認のエビデンス
リスク分析表、リスクの認識、分析及び対策を実施した記録と規程との対応
審査項目
定期的な見直し、及び必要に応じた随時の見直しの手順が明確である。
●定めた手順に従いリスクの見直しを実施している。
現地審査の着眼点
定めた手順に従い実施している。
リスクの見直しを定期的及び随時実施している。
注意:リスク分析表などを形式的に見直すのではなく、認識したリスク、対策、残存リスクが適切である事を確認する事が重要です。
例えば、事務所移転などを行っている場合、事務所移転と言うリスクが発生しているのでその時点で、リスクの見直しを臨時に行っていないと、審査で不適合になります。
運用確認のエビデンス
リスク分析表、リスクの認識、分析及び対策を実施した記録及びその更新履歴
0 件のコメント:
コメントを投稿