A.特定した個人情報のリスクアセスメント

 リスクを分析しそのリスクを評価する作業はPMSの構築上の大変な項目のひとつです。リスク分析を実施しその対策として講じた策はPMSの規程に反映させ実施させていきます。実際の流れを把握しなければそのリスクも考えられませんので、業務フローなどを作成した上でリスク対策を検討する方法もひとつです。

B.リスクについて

 個人情報の取り扱いに伴うリスクは、情報漏洩や紛失・盗難をはじめ、法令違反、取扱いのルール違反(目的外利用など)などがあります。

 想定される経済的な不利益や社会的信用の失墜もリスクとして捉えます。

C.ライフサイクルの局面の洗い出し

 特定された個人情報について、自社に情報が入り出て行くまで(管理対象からはずれる、廃棄や消去も含む)までのサイクルを抽出し検討します。紙媒体のみで入手し利用し廃棄する場合には、保管時のリスクは盗難や損壊があげられますし、データをPCに保管し利用するとなった場合には、ウイルスに対する対策も検討しなければならないことになります。

ポイント

  • 各個人情報の入手から廃棄・消去までを「業務フロー」に落とし込み流れを理解する。
  • 流れは、誰から取得・入手(本人or本人以外)媒体は(紙・データ)で区分し、「取得・入手、移送・送信、利用・加工、保管、消去・廃棄・返却」という局面を洗い出し、フロー化する。
  • 本人、自社、委託・提供などの流れを加えて、動きを理解する。
  • 情報が移動する際には、人為的な移動に伴うリスクや通信の場合は誤通信などのリスク、データを加工する場合には誤加工などが考えられます、それぞれどのような流れを持って業務を行なっていくのかを分かりやすくします。
  • 共通するリスクは別途定義する。
  • コンプライアンス違反・目的外利用などは、おそらく全ての個人情報に対し発生するリスクと考えられます。この場合、規定にこのリスクについての対策についての対応を反映させるなどし、業務フローを作成する場合には、各個人情報特有のリスクを抽出した形式にすると分かりやすくなります。
  • 残留リスクについても管理下に置く。
  • 完全なリスク対策を行うことは難しく、人為的なミスや規程事項の不履行の発生など、対策として講じることとした施策をもってしても発生しうるものが存在します。これらの残留リスクについては記録し、今後のPMSの改善課題案件としていきます。
  • 原則分類ごとにフローを想定する(各区分ごと)。
  • 紙媒体からデータとなる場合(従業員の履歴書から人事データを作成など)にはそれぞれ別のリスクが想定されるため、分析は別個で実施する。
  • 行程が煩雑となる場合には、リスク分析をわける。
  • 情報を入手後、外部委託を行う場合など業務フローをつくっても行程がややこしくなる場合は、委託部分を別途抽出しリスク分析や対策を検討すれば分かりやすくなる場合があります。
  • 全く同じ取扱いとなるリスク分析については、ひとつに集約する(グルーピング)。
  • 別途規程するべき事項の安全管理措置(適正管理に関する規程)の内容作成と平行しながらリスク対策を検討する。
  • 講じるとした対策は規程に反映する為、双方間でリンクしている必要があります。
  • リスク分析・対策はひとつの様式とし、各番号をつけ整理する。
  • 特定した個人情報はそれぞれにリスク分析などが必要であるため、それらの関係がわかるよう互いにどの個人情報がどのリスク分析なのかを分かりやすくすることで管理しやすくなります。また、業務フローをつくりそのフローの横にリスク分析内容や対策などを記録すると流れの全体像を把握することもできます。

D.個人情報のリスクアセスメント・リスク対策に関する手順の文書化準備

 個人情報のリスク分析等に関しては、一定の期間や随時の見直しについての手順などを規程に反映させておく必要があります。

ポイント

  • リスク分析の実施担当者を明記し、様式を作成する。
  • 目的外利用を行なわない手順等は予め規程に定めておく。
  • リスク分析などで求められている事項は、特定した個人情報の各局面ごとのもの以外に、目的外利用を防止させる内容があります。目的外利用をしていない確認としては、運用確認や監査の実施によるチェックや、防止策として、教育の実施などがあげられます。
  • リスク分析の見直し手順を策定する。
  • リスク分析を行うタイミング、新たな個人情報が特定された場合、業務内容が変化した場合など、作成者および承認者は誰なのかの流れを規程に反映させる。
  • 定期的な見直しに関する手順を決める
  • 上記の随時的なもの以外の一定期間(1年又は頻繁に個人情報が入れ替わる場合には数ヶ月毎)に見直し手順について策定する。基本的には、誰がいつ実施し、承認を行うのかその記録はどのように確認するのかを明確にします。見直しを実施した記録をどのようにつけるのかにも注意がいります。実質業務内容や外部環境の変化がなく同じリスク分析・対策としていても、その見直しを行ったという記録を何らかの形で記録できる形式とする必要があります。
< 前の管理策
次の管理策 >