Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマーク(Pマーク)3.3.3 リスクなどの認識、分析及び対策

2016年11月11日

プライバシーマーク(Pマーク)3.3.3 リスクなどの認識、分析及び対策

今回はPマーク(プライバシーマーク)を取得するにあたって、必要となってくる「3.3.3リスクなどの認識、分析及び対策」についてお話させて頂きます。

規格要求事項

まず、この「3.3.3 リスクなどの認識、分析及び対策」では何を求められているのか?
以下、要求事項を載せさせていただきます。

事業者は、3.3.1によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。
事業者は、3.3.1によって特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。

なんだか難しくいろいろと書かれていますね。。。

読んでみると、二つ書かれています。

①個人情報を特定したら、取得した時の目的以外で利用しないように、取扱の手順を切れてください。
②個人情報を特定したら、その個人情報の取り扱うそれぞれの局面でのリスクを認識し、分析し、対策を立ててください。

では、それぞれ説明していきます。

要求事項の解説

まず①に関して、こちらは利用目的の特定(3.4.2.1)及び利用に関する措置(3.4.2.6)で行っていれば問題ありません。
そして、②に関して、こちらでは、特定した個人情報に対して取り扱うそれぞれの局面でのリスクの認識、分析及び対策を求められています。

では、取り扱うそれぞれの局面とは具体的にどんな局面か?大きく分けて6つの局面があります。

取得・入力
個人情報を本人から手渡しで取得、宅配便で取得、FAXで取得、電子メールで取得、WEBサイトからの取得、取得した情報を紙媒体へ記入する、入力業務を委託する等があげられます。

移送・送信
社内での持ち運び、社外での持ち運び、配送業者を利用し個人情報を郵送する、電子メールを送信する、USBメモリなどの外部媒体を利用して送信する、ネットワークを経由して送信する、FAXで送信する等があげられます。

利用・加工
紙媒体に記録された情報を利用する、閲覧する、利用加工業務を委託する、サーバーやパソコンに格納された個人情報を利用する、連絡する等があげられます。

委託・提供
○○○に委託する、第三者に提供する等があげられます。

保管・バックアップ
キャビネットに保管する、パソコンに保管する、社内サーバーに保管する、社外サーバーに保管する、クラウドに保管する、外部媒体に保管する、媒体内に保管する(携帯電話、スマートフォン、ipad等)等があげられます。

廃棄・消去
紙媒体を廃棄する、溶解処理業者に廃棄してもらう。パソコンに格納された個人情報を消去する、社内サーバーに格納された個人情報を消去する、外部媒体に格納された個人情報を消去する、リース機器を返還する等があげられます。

このように特定した個人情報それぞれに対して、「1、取得・入力」から「2、廃棄・消去」までのリスク分析を行わなければなりません。

具体例

例として名刺について考えてみましょう。

(名刺の場合)
取引先の方から手渡しで名刺を取得する。(取得。入力)
取得した名刺を事務所へ持ち帰る。(移送・送信)
名刺を閲覧する。(利用・加工)
無し。(名刺を委託業者へ委託しない。)(委託・提供)
鍵付きのキャビネットにて保管する。(保管・バックアップ)
シュレッダーにて廃棄する。(廃棄・消去)

実際にリスク分性を行うと上記のようになります。
これはあくまで例なので実際にはもっとそれぞれの局面でリスクが発生すると思います。

例として名刺のリスク分析を行いましたが、これを特定したすべての個人情報に対して行うと思うと結構面倒くさいですよね。。。
そこで1つポイントを紹介すると、この項目「3.3.3 リスクなどの認識、分析及び対策」ではリスクなどの認識、分析及び対策を把握する場合、ライフサイクルが同じものはグルーピングが可能であるということです。

つまり、先ほどの名刺の例と全く同じ「1、取得・入力」から「2、廃棄・消去」までのリスク分析結果となる個人情報Aがあるとします。この個人情報Aは以下のように名刺と同時にリスク分析を行ってもよいですよ!ということになります。

(名刺、個人情報Aの場合)
取引先の方から手渡しで名刺を取得する。(取得。入力)
取得した名刺を事務所へ持ち帰る。(移送・送信)
名刺を閲覧する。(利用・加工)
無し。(名刺を委託業者へ委託しない。)(委託・提供
鍵付きのキャビネットにて保管する。(保管・バックアップ)
シュレッダーにて廃棄する。(廃棄・消去)

これによって、ずいぶんと対応が楽になるのではないでしょうか?

弊社ではこのようなアドバイスはもちろん実際のPマーク(プライバシーマーク)の運用から審査時に必要な資料作成までお手伝いさせて頂いております。
Pマークの取得・運用にお困りの方、是非無駄な工数をかけずに取得・運用していきましょう!

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。