Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

Pマーク(プライバシーマーク)認証お役立ちコラム

Pマークリスク分析表の作り方(サンプル事例付き)

スタッフ写真
スタッフ写真

2022年12月28日

Pマークリスク分析表の作り方(サンプル事例付き)

Pマークのリスク分析表では、個人情報の取扱フローに従ってリスクを特定・分析していきます。
具体的な取得方法をイメージして、どんな事故・事件が起こりうるのかを分析していく工程です。 
Pマーク リスク分析表には7つの必須項目があります。

1.Pマークのリスク分析とは

Pマークのリスク分析とは、個人情報の取扱フローに従ってリスクを特定して分析していくことです。

個人情報を取得したのちに、リスク分析を実施します。

個人情報の特定の段階で具体的な取得方法をイメージし、その場合にどんな事故や事件が起こりうるのかを検討してリスク分析・対策を検討していきます。

 

2.リスク分析の流れ


リスク分析の流れ

Pマークのリスク分析では、取得~廃棄までの流れを特定していきます。

具体的にどういう事を検討する必要があるのかを見ていきましょう。

 

「取得・入力」

 個人情報を本人から手渡しで取得,宅配便・FAX・電子メールで取得やネット申し込みからの取得,取得した個人情報を紙媒体へ記入する,入力業務を委託する等があげられます。

 

「移送・送信」

 社内での持ち運び,社外での持ち運び,配送業者を利用し個人情報を郵送する,電子メールを送信する,USBメモリなどの外部媒体を利用して送信する,ネットワークを介して送信する,FAXで送信する等があげられます。

 

「利用・加工」

 紙媒体に記録された個人情報を利用する,閲覧する,利用加工業務を委託する,サーバーやパソコンに保管された個人情報を利用する,連絡する等があげられます。

 

「委託・提供」

 ○○○に委託する,第三者に提供する等があげられます。

 

「保管・バックアップ」

 キャビネットに保管する,パソコンに保管する,社内サーバーに保管する,社外サーバーに保管する,クラウドに保管する,外部媒体に保管する,媒体内に保管する(携帯電話,スマートフォン,ipad等)等があげられます。

 

「廃棄・消去」

 紙媒体を廃棄する,専門業者に廃棄してもらう,パソコンに保管された個人情報を消去する,社内サーバーに保管された個人情報を消去する,外部媒体に保管された個人情報を消去する,リース機器を返還する等があげられます。

 

このように特定した個人情報それぞれに対して、「取得・入力」から「廃棄・消去」までのリスク分析を行わなければなりません。

3.個人情報の洗い出し

Pマークの要求事項では、以下のように述べられています。

A.3.3.1 個人情報の特定

組織は、個人情報の項目、利用目的、保管場所、保管方法、アクセス権を有する者、利用期限、保管期限などを記載した、個人情報を管理するための台帳を整備するとともに、当該台帳の内容を少なくとも年一回、適宜に確認し、最新の状態で維持されるようにしなければならない。 組織は、特定した個人情報については、個人データと同様に取り扱わなければならない。

引用:「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項A.3.3.1 個人情報の特定」

簡単に言うと個人情報が記載してある「個人情報管理台帳」を作成し管理しなければなりません。

詳しくはこちら

 

4.リスク分析に必要な項目

 リスク分析、7つの必須項目は以下になります。

「個人情報管理台帳」から紐づけができる状態で、媒体や取り扱いプロセスを把握したのちにリスク分析ができる「リスク分析の様式」が良いでしょう。

リスク分析に必要な項目は以下です。

 『必要項目』

  1. 個人情報名
  2. 媒体
  3. 個人情報取扱いプロセス
  4. リスクの洗い出し
  5. リスク対策
  6. 関連規程
  7. 残留リスク

 

5.リスク分析表

リスク分析のサンプルを説明していきます。

今回は名刺を例にします。

名刺を取得から廃棄までの流れを記載すると以下になります。その内容を反映したリスク分析表を、参考に掲載しております。

「名刺、個人情報Aの場合」

(取得・入力)取引先の方から手渡しで名刺を取得する。

(移送・送信)取得した名刺を事務所へ持ち帰る。

(利用・加工)名刺を閲覧する。

(委託・提供)無し。名刺を委託業者へ委託しない。

(保管・バックアップ)鍵付きのキャビネットにて保管する。

(廃棄・消去)シュレッダーにて廃棄する。

※ 添付資料がリスク分析表のサンプルです。

 

6.よくある失敗事例

よくある失敗事例の紹介をすると、グルーピングできる物をグルーピングしていないことが挙げられます。

例えば、要求事項「3.3.3 リスクなどの認識、分析及び対策」への対応においては、リスクなどの認識、分析及び対策を把握する場合、ライフサイクルが同じものはグルーピングが可能です。

つまり、先ほどの名刺の例と全く同じ「取得・入力」から「廃棄・消去」までのリスク分析結果となる個人情報Aがあるとします。

この個人情報Aは名刺と同時にリスク分析を行ってもよいということになります。

このようにして1シートに1情報とすると膨大な量になり管理が出来なくなるため、グルーピングできる物はグルーピングして管理していきましょう。

まとめ

Pマークのリスク分析表は、個人情報の取扱フローに従って取得~廃棄までの流れでリスクを特定・分析していきます。

具体的な取得方法をイメージしたら、その場合にどんな事故・事件が起こりうるのかを検討してリスク分析表を作ります。

Pマークリスク分析表は個人情報管理台帳と整合させるような様式が良いが、管理をしやすくするためにグルーピングをすることをお勧めします。

ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜17:00
0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。