リスクとは

事業が取り扱っている情報または個人情報が漏えい・改ざん・滅失したり、目的外利用などにより事業者や本人が不利益を被ったりすることを指します。

プライバシーマークとリスク

プライバシーマークでは特定された個人情報に対してプロセスごとにリスクを洗い出し、必要な対策を講じるように定められています。
対策を講じても残ってしまうリスクを残存リスクといいますが、残存リスクについても把握しておかなければなりません。
これがリスクマネジメントとなります。

ISO27001（ISMS）とリスク

ISO27001（ISMS）でも事業者で定めたリスク基準によって、情報資産ごとにリスクアセスメントを実施してリスクを特定・分析・評価することを定めています。リスクの度合いが高く、脅威となるものが出た場合にはリスクへの対応計画にてさらに管理し、リスクの度合いを小さくしていく活動が必要になります。

まとめ

リスクはどんな業界でも事業を運営する上で出てくる問題です。
マネジメントシステムを運用する以上、できていない対策がないかの点検はもちろん、新たに発生したリスクを発見したり、対策に有効性があるかどうかの発見にもつながりますので、必ず定期的に見直していくようにしましょう。