リスク認識の方法とは?リスクを分析する具体的な手法も含めて解説

この記事は約6分で読めます。

​「リスク」という言葉は聞きなじみがあっても、「リスク認識」と言う言葉は聞きなれない方もいるのではないでしょうか。ですが、リスク認識はプライバシーマークを取得するための重要なポイントであり、取得までの道のりで一番難しいとされています。 

この記事では、リスク分析をする具体的な手法を解説します。 

以下に、自社のセキュリティ状況を把握していただくためのセキュリティチェックリストを用意しています。 現役情報セキュリティコンサルタント作成の14分野30項目となっており、項目ごとに5段階評価と詳細な分析が可能です。 
貴社のセキュリティ向上に向けて、まずは無料でダウンロードして状況把握していただけますと幸いです。 

まずは現状分析から! 現役コンサル作成の30項目!

リスクの認識とは

リスクの認識」とは、個人情報を取り扱う上でのライフサイクルです。

  • 取得・入力
  • 移送・送信
  • 利用・加工
  • 利用・加工
  • 消去・廃棄

各場面の中で、適切に取り扱わないことによって発生する可能性がある情報漏えい等のリスクを洗い出すことを指します。プライバシーマークを取得する際に必要な要求事項として「3.3.3 リスクなどの認識、分析及び対策」があります。 

​要求事項の内容は以下の通りです。

事業者は、3.3.1によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。 

事業者は、3.3.1によって特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。 

要約すると以下2点のことがいえます。

  • 個人情報を特定したら、取得した時の目的以外で利用しないように、取扱の手順を決める
  • 個人情報を特定したら、その個人情報の取り扱うリスクを認識し、分析し、対策を立てる

​難しく聞こえるかもしれませんが、情報漏洩に関する重要なポイントなので、洗い出しを徹底しましょう。​ 

リスクの認識について考えすぎないことが重要

​ただし、リスクを考え出すとキリが無く、あれもこれもと際限なく考えてしまうことがあります。 

あくまで現実的かつ身近なリスクを考えるようにしましょう。 
例えば、

PCに不正アクセスされてデータを盗まれる可能性があるため、ウイルス対策ソフトを導入したり、アクセス権を制限して担当者以外見ることができないようにする必要がある。

これについては、現実的に起こりうる可能性があるため、妥当な認識だと言えます。

隕石が落下し、社屋にぶつかる可能性があるためそれに耐えうる社屋に建て替える必要がある。

 もちろん、可能性が0というわけではありません。 ですが、きわめて可能性は低く、考慮するべきとは言えませんし、コストパフォーマンスの観点から見ても現実的ではありません。 

このようにリスクについて心配性になる必要はありません。 身近なリスクから少しずつ範囲を広げていくやり方を意識しましょう

リスクを認識し分析する

取扱の手順に関しては、利用目的の特定(3.4.2.1)及び利用に関する措置(3.4.2.6)で行っていれば問題ありません。 

リスクの分析を行う局面に関しては、下記の6種類となります。 ​それぞれ具体例と共に見ていきましょう。

取得・入力

個人情報を取得・入力する際のリスクを指します。 

  • 本人から名刺などを手渡しで取得
  • メールに書かれている内容で取得
  • WEBサイトのフォームに入力された内容から取得
  • 取得した情報を紙媒体へ記入する
  • データ入力業務を第三者に委託する

これらの際に、リスクが発生すると考えられます。 
特に紙媒体の場合は紛失のリスクが高いので、細心の注意を払いましょう

移送・送信

個人情報を移送・送信する際のリスクを指します。 

  • データの入った媒体を社内で持ち運ぶ
  • データの入った媒体を社外で持ち運ぶ
  • 電子メールを利用して送信する
  • ネットワークを経由して送信する

これらの際に、リスクが発生すると考えられます。 
特に社外に持ち運ぶ際には細心の注意を払う必要があります

利用・加工

個人情報を利用・加工する際のリスクを指します。 

  • 紙媒体に記録された情報を業務に利用する
  • 個人情報の利用加工業務を委託する
  • サーバーやパソコンに格納された個人情報を利用する
  • 業務で知った電話番号に連絡する

これらの際に、リスクが発生すると考えられます。 
個人情報の流出を防ぐため、業務で知りえた情報は利用が終わった後、できる限り早めに破棄するなどといった対策が必要です。 

委託・提供

  • 業務を委託する
  • 第三者に情報を提供する

上記があげられます。 
その第三者や業務を委託する相手が信頼に値するか吟味しましょう

保管・バックアップ

  • キャビネットや金庫に保管する
  • パソコンに保管する
  • 社内サーバーに保管する
  • 社外サーバーに保管する
  • クラウドに保管する
  • 外部媒体に保管する
  • 媒体内に保管する(スマートフォンなど)

上記があげられます。 
特に物理的に盗まれるリスクを下げるためにも、重要な書類は大切に保管しましょう

廃棄・消去

  • 紙媒体を廃棄する​
  • ​溶解処理業者に廃棄してもらう​
  • パソコンに格納された個人情報を消去する
  • 社内サーバーに格納された個人情報を消去する
  • 外部媒体に格納された個人情報を消去する

​上記があげられます。 
廃棄の際は、ただゴミ箱に捨てるだけだと見られてしまう可能性があります。 
シュレッダーを利用するなどしてリスクを下げましょう。​ 

まとめ

​リスク認識について解説しました。 

全ての些細なリスクを考慮するのではなく、あくまで身近なリスクを考慮し、適切な対策、適切な取り扱い方をできるようにしましょう。 

弊社では、自社のセキュリティ状況を把握していただくためのセキュリティチェックリストを用意しています。 
現役情報セキュリティコンサルタント作成の14分野30項目となっており、項目ごとに5段階評価と詳細な分析が可能です。 
無料でダウンロードできるので、ぜひご活用ください。 

認証取得を目指すPマークリスクマネジメント
タイトルとURLをコピーしました