プライバシーマーク 08-2 個人情報のリスクの認識 分析及び対策 リスク対策 c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規程

それぞれの個人情報を洗い出して、認識したリスクについて、リスクのもとになる脅威（原因）、発生の可能性（脆弱性）、発生した場合の影響を分析して評価を行い、その結果に応じた合理的な対策を検討する事になります。

プライバシーマーク　08-1　個人情報のリスクの認識及び対策　リスクの認識　c)個人情報に関するリスクの認識、分析及び対策の手順に関する規程の帳票の右側を使います。

評価に応じて、対策を立てます。

人的対策・物理的対策・技術的対策がありますが、資金的な兼ね合いから、最適な対策（組み合わせた対策でもよい）を立案します。

規格にある「合理的な対策」とは、個人情報の取扱いに関するリスクが明確に認識・分析・評価され、なお且つさまざまな予防処置が検討され、その中で取り得る最良の措置を講じる事です。

金さえかければ、色々な措置を講じる事が出来ますが、金をかける事により、本業が傾く事になりかねない場合や、予算が計上できないと言うことでいつまでも実行できないようなリスク対策は意味がありません。

評価したリスクについて、現状で出来る限りのリスク対策を行います。
極端な例を出すと、入退室について網膜認証を行うには莫大な設備費用がかかります。
しかし、網膜認証システムを導入すると、経常利益が全部なくなってしまう。
会社の経営が立ち行かない。
ここまではしなくていいのです。

しかし、ベストの対策が講じられないと、リスクは存在します。
これを残存リスクと言います。

残存リスクも把握しておく事により、次の対策を行う事が出来ます。

リスクは常に変化するものなので、見直しが必要になります。