リスクアセスメントとは

事業者が取扱っている情報に対し、どんなリスクがあるかを洗い出し、管理することです。
リスクはなくなることがなく、新たに発生していることも多いので定期的に見直しをすることが重要です。

プライバシーマークとリスクアセスメント

プライバシーマークにおけるリスクアセスメントは、特定された個人情報をライフサイクルごとにリスクの洗い出しを行い、回避・軽減するための対策をし、それでも残ってしまうリスクを把握しておかなければなりません。

ISO27001（ISMS）とリスクアセスメント

ISO27001（ISMS）ではリスクアセスメントを実施し、リスク評価を行ってリスクの値を測ることとしており、測定方法は事業者ごとで手順を定めるようになっています。
また、リスクアセスメントの結果から受容できないリスクがあった場合にはリスク対応計画として個別で管理することとされています。

ISOとリスクアセスメント

ISO9001やISO14001でも「リスク及び機会への取り組み」として内外の課題・利害関係者のニーズ及び期待について規定しなければなりません。
また、ISO14001では環境側面からリスクを洗い出すことと順守評価を考慮して取り組む必要があります。

まとめ

リスクアセスメントは、事業を運営する上で発生しているリスクを管理することです。
把握するだけではなく、実施した結果から対策・改善していかなければ大きな事件や事故につながりかねません。
そのため、定期的な見直しを行い、取り扱っている情報や体制・環境の変化などからも発生するリスクの変化を認識し、管理することで情報セキュリティにつなげていきましょう。

■関連コラム

• ISMS(ISO27001)リスクアセスメントとは｜手順と実施方法３選