本日は、「リスク分析」についてお話していきます。
「リスク分析」とは、正確にはJISQ15001:2006上は、3.3.3「リスク等の認識、分析及び対策」といわれています。
「リスク等の認識、分析及び対策」って何をするの?
内容はタイトルそのままで、「個人情報の特定」で特定した個人情報には、取扱いの中でどんなリスクがあるのか分析します。そして、その分析結果の中で、どのようなリスクがあるのかを認識して対策を立てます。
さらに、対策を打ったとしても、まだ不安やリスクが残る場合には、これを「残存リスク」として認識しておく必要があります。
前提として、業務内容の中でどのような個人情報を取扱っているのかを明確にする「個人情報の特定」をしっかりとやっておかなければなりません。
では、リスク分析とはどのようにやっていくのでしょうか。
個人情報のライフサイクル
まずは「個人情報のライフサイクル」についてお話します。
「個人情報のライフサイクル」とは、個人情報が生まれてから廃棄されてゆくまでの過程のことを指します。その中で、さらに下記の過程に分類されています。
- 取得・入力
- 移送・送信
- 利用・加工
- 保管・バックアップ
- 消去・廃棄
- 委託
洗い出した個人情報の取扱いの過程の中で、それぞれどのようなリスクが含まれるかをピックアップしていきます。
個人情報はどこからどのように入ってくるの?入り口はどこ?誰がどんな使い方をするの?紙?電子?USB?CD?保管場所はどこ?机の中?キャビネット?クラウド?社内サーバ?廃棄は?削除?いつ?どうやって?委託はある?どこに何を?等…。考えられる要素に孕まれる全てのリスクをピックアップしていきます。
例えば、取得の際には「同意を得ていない」というリスク、移送送信の際には、「誤送信」、利用・加工には「利用目的を超えて個人情報を使う『目的外の利用』」、保管・バックアップなら「誤削除」、消去・廃棄だったなら「廃棄漏れ」等が挙げられます。
この他にも、委託先に関するリスクも忘れずに分析する必要があります。委託先で考えられるリスクでいうと、「ずさんな管理による委託先からの情報漏えい」が例として挙げられます。
リスクの対応策を考える
そして、ピックアップしたリスクに対し「合理的な」リスク対策をしていきます。
ここで重要なキーワードは「合理的な」です。
「合理的な」というのは、現在会社で経済的にも技術的にも実際に対策が可能であって、尚且つそのリスクに対して対応しうる最良の手立て、という意味です。
いくら完璧に近い対策を立てても、経済的にも技術的にも不可能では意味を成しません。また、業務で個人情報を取扱う上で、合理的でない対策をしてしまうことにより、業務効率が落ちてしまってはいけません。
ですので、リスクには、状況を見据えた上での「合理的な」対応策を講じて行きましょう。
さらにもう1点この対応策で気をつけていただきたい点があります。
それは「ヒューマンエラー」です。
物理的な理由で発生するリスクだけでなく、法令やガイドラインに反するリスクや、社会的責任に対するリスクも考えていかなければならない、ということです。
つまり、リスクが発生することで、法律やガイドラインにどのように抵触するのかということも認識しなければいけません。
残存リスク
リスク対応を一通り終えたら、とりあえずのリスクを低減することが出来ました。しかし、リスクとはいくら対策しても、0にならないものです。
対応策を講じても、心配の残るリスクを「残存リスク」といいます。
今度はこの「残存リスク」を洗い出し、認識していかなければなりません。
例えば、共用コピー機があると仮定します。「委託先からの情報漏えい」というリスクに対し、「委託先の選定評価を行い、必要に応じてNDAを締結する」という対応策を講じたとします。しかし、「委託先の故意や過失による情報漏えい」というリスクがまだ残っていることも考えられます。このリスクを残存リスクとして、認識し、念頭に置いておく必要があります。
また、実際にこのようなことが発生した時のことを考慮し、対策や対応手順を用意する等、体制を整えておきましょう。
以上がリスク分析についてでした。リスク分析ではどのようなことをしていけば良いのかなんとなくでもイメージを掴んでいただけましたでしょうか。
分析したリスクについては、「リスク分析表」や「リスク管理表」等を作成し、一覧管理していくこととなりますが、この辺のお話は後ほど。