リスクの認識ってどこまですべき?

この記事は約2分で読めます。

まずは現状分析から! 現役コンサル作成の30項目!

リスクの認識」と言う言葉、普段の生活ではなかなか耳にしない言葉かと思います。

ただ、プライバシーマークを取得するためには重要なポイントであり、取得までの流れの中では一番難しい場面の1つであると言えます。

リスクの認識」は特定した個人情報についてその個人情報を取り扱う上でのライフサイクル(取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄)の各場面の中で、適切に取り扱わないことによって発生する可能性がある漏えい等のリスクを洗い出すことを指します。

例えば、廃棄時のリスクではシュレッダー等の裁断処理を行わずに紙の個人情報をごみ箱に捨ててしまった場合にそこから個人情報が漏えいしてしまう、所謂ソーシャルエンジニアリングが起きる可能性があります。

このように業務の中で取り扱う個人情報についてのリスクや心配事として思うことをその個人情報を取り扱う上でのライフサイクル毎に洗い出していくことがリスクの認識になります。

ただ、リスクというものは考え出すと切りが無くあれもこれもと皆さん考えがちで気付くと際限なく考えがちです。
実際にあるお客様なんかでは空港がすぐそばにあるから、飛行機が墜落する可能性がある。というリスクを認識された方がいたのですが、さすがにこれはやり過ぎですし、そうお伝えしました。

また、リスクの認識の度が過ぎるとそのリスクに対する対策を行う必要が出て、費用対効果が悪い対策を実施せざる得ない状況に追い込まれてしまいます。

リスクをどこまで認識するかは会社に合ったプライバシーマークを取得するためにはかなり重要なポイントでありますが、まずは身近なリスクから洗い出し、広げて行くことをお勧めします。

こちらに、自社のセキュリティ状況を把握していただくためのセキュリティチェックリストをご用意しております。現役情報セキュリティコンサルタント作成の14分野30項目となっており、項目ごとに5段階評価と詳細な分析が可能です。貴社のセキュリティ向上に向けて、まずは無料でダウンロードして状況把握していただけますと幸いです。

認証取得を目指す Pマーク
LRM株式会社 画像
この記事を書いた人
ISMSやPマーク取得支援・情報セキュリティツールの導入支援を行っている情報セキュリティコンサルティング会社。また、情報セキュリティ向上クラウド「Seculio」の運営しています。
セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン
タイトルとURLをコピーしました