株式会社ハピネックス

東京都中央区日本橋小伝馬町16-5
新日本橋長岡ビル6階
TEL:03-5614-4311

JISQ15001:2006 規格要求事項解説

3.3 計画

3.3.3 リスクなどの認識、分析及び対策

(解説)

まず一つ目に、当然ですが「目的外利用をしないでください。」、「目的外利用をしないようにするには会社としてどのようにするのか、会社として決めてください。」、「社内で内部監査を行い常にチェックしてください。」等、そういう基本的なルールを決めてください。

二つ目に、これが個人情報保護、プライバシーマークのリスク分析になりますが、
「皆さんの持っている個人情報が、もし漏洩した場合にどんな影響があるか。そういうリスク分析をしてください。」 ということです。

厄介なのは取り扱いの各局面におけるリスク です。どういうことを言っているかというと、 “個人情報のライフサイクルについて” です。

ライフサイクルとは
  1. 取得・入力
  2. 移送・送信
  3. 利用・加工
  4. 保管・バックアップ
  5. 消去・廃棄

になります。

例えば、皆さんが個人情報を入手しました。入手したらスタートです。

まず、利用しました⇒保管をしました。保管をするとどんなリスクがあるのでしょうか。

次に「この個人情報を集計してください」と、業者に委託をしました。すると委託という局面になります。その場合にどんなリスクがあるでしょうか。

最後に消去(廃棄)します。消去や廃棄の際にどんなリスクがあるでしょうか。リスク分析をして必要な対策を講じる手順を確立します。リスクがあるのであれば、何らかの対策を打たなければなりません。その対策に関する手順を決めてください。

例えば保管をすると、無くなる可能性もある。「これリスクあるよね」⇒「じゃあバックアップとろうよ」バックアップをとる、ということが対策になります。では、バックアップをとる手順をどの様にするか、誰がいつどのようにバックアップするか、これが手順です。

こういうことを決めてください。

ですから、ここは一つ目として、
「目的外利用を行わないためにまず会社は最低でもルールを決めてください。」
二つ目に、
「個人情報の各局面、分かりやすくいえば、個人情報のライフワーク、各局面でどんなリスクがあるか分析してください。そしてリスクがあるのであればそれに対する対策、これを手順としてまとめてください。」
こういった作業になります。


戻る(3.3.2)


次へ(3.3.4)

規格要求事項解説

ページのトップへ戻る