対応規格:規格3.3.3 リスク等の認識、分析及び対策
規格 3.3.1 個人情報の特定で保護対象とした個人情報について、想定できる全てのリスクを管理する事が求められています。
06-1、06-2で特定した、個人情報を業務フロー等を使い、業務の内容と実際に存在する個人情報の取扱われる「個人情報の流」を明確にします。
個人情報が会社に入ってから、会社から出るまで(廃棄されるまで)のライフサイクルを明確化し、ライフサイクルの局面ごとにリスクを洗いだします。
個人情報のライフサイクルの各局面とは、以下になります。
1-取得・入力
2-移送・送信
3-利用・加工
4-保管・バックアップ
5-消去・廃棄
個人情報のライフサイクルは、取得・入力⇒送信・移送⇒利用・加工⇒保管・バックアップ⇒消去・廃棄の流れになります。
JIS Q 15001の規格では、リスクは以下の事が想定されています。
1-漏洩(外に漏れる事)
2-滅失(無くなる事)
3-毀損(壊れる事、正確性が無くなる事)
4-目的外利用
5-関連する法律、国が定める指針その他の規範に違反する事
6-想定される経済的な不利益や社会的な信用の失墜の発生
7-本人への影響の発生
これらをリスクと捉えます。
また、認識するとは、いつ、だれが、どこで、どんなときに、何を行い、どのような事をするか、どんなリスクが発生するかを明確にします。
また、法令違反によるリスク、コンプライアンス違反によるリスクも考慮に入れなければなりません。
案外見逃してしまうのが、本人の同意を得ないで取得、利用がおこなわれている事が多くあります。
目的外の取得・利用にあたりますので、リスクとして認識する事が必要です。
個人情報ごとにこのような帳票を作ると便利です。
一部抜粋して拡大しました。
一つの個人情報で、ライフサイクル毎にリスクが発生します。
ライフサイクルのリスクを認識する事が、大事なのですが、慣れるまでは時間がかかる為、数人でリスクの認識を行う必要があります。
この帳票は、グーグルドライブで公開していますので、ご自由にお使いください。
0 件のコメント:
コメントを投稿