Pマーク(プライバシーマーク)認証お役立ちコラム
2022年12月28日
Pマークのリスク分析表では、個人情報の取扱フローに従ってリスクを特定・分析していきます。
具体的な取得方法をイメージして、どんな事故・事件が起こりうるのかを分析していく工程です。
Pマーク リスク分析表には7つの必須項目があります。
1.Pマークのリスク分析とは
Pマークのリスク分析とは、個人情報の取扱フローに従ってリスクを特定して分析していくことです。
個人情報を取得したのちに、リスク分析を実施します。
個人情報の特定の段階で具体的な取得方法をイメージし、その場合にどんな事故や事件が起こりうるのかを検討してリスク分析・対策を検討していきます。
2.リスク分析の流れ
Pマークのリスク分析では、取得~廃棄までの流れを特定していきます。
具体的にどういう事を検討する必要があるのかを見ていきましょう。
「取得・入力」
個人情報を本人から手渡しで取得,宅配便・FAX・電子メールで取得やネット申し込みからの取得,取得した個人情報を紙媒体へ記入する,入力業務を委託する等があげられます。
「移送・送信」
社内での持ち運び,社外での持ち運び,配送業者を利用し個人情報を郵送する,電子メールを送信する,USBメモリなどの外部媒体を利用して送信する,ネットワークを介して送信する,FAXで送信する等があげられます。
「利用・加工」
紙媒体に記録された個人情報を利用する,閲覧する,利用加工業務を委託する,サーバーやパソコンに保管された個人情報を利用する,連絡する等があげられます。
「委託・提供」
○○○に委託する,第三者に提供する等があげられます。
「保管・バックアップ」
キャビネットに保管する,パソコンに保管する,社内サーバーに保管する,社外サーバーに保管する,クラウドに保管する,外部媒体に保管する,媒体内に保管する(携帯電話,スマートフォン,ipad等)等があげられます。
「廃棄・消去」
紙媒体を廃棄する,専門業者に廃棄してもらう,パソコンに保管された個人情報を消去する,社内サーバーに保管された個人情報を消去する,外部媒体に保管された個人情報を消去する,リース機器を返還する等があげられます。
このように特定した個人情報それぞれに対して、「取得・入力」から「廃棄・消去」までのリスク分析を行わなければなりません。
3.個人情報の洗い出し
Pマークの要求事項では、以下のように述べられています。
A.3.3.1 個人情報の特定
組織は、個人情報の項目、利用目的、保管場所、保管方法、アクセス権を有する者、利用期限、保管期限などを記載した、個人情報を管理するための台帳を整備するとともに、当該台帳の内容を少なくとも年一回、適宜に確認し、最新の状態で維持されるようにしなければならない。 組織は、特定した個人情報については、個人データと同様に取り扱わなければならない。
引用:「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項A.3.3.1 個人情報の特定」
簡単に言うと個人情報が記載してある「個人情報管理台帳」を作成し管理しなければなりません。
詳しくはこちら:これさえ気をつければ簡単!?一からの個人情報管理台帳の作り方
4.リスク分析に必要な項目
リスク分析、7つの必須項目は以下になります。
「個人情報管理台帳」から紐づけができる状態で、媒体や取り扱いプロセスを把握したのちにリスク分析ができる「リスク分析の様式」が良いでしょう。
リスク分析に必要な項目は以下です。
『必要項目』
- 個人情報名
- 媒体
- 個人情報取扱いプロセス
- リスクの洗い出し
- リスク対策
- 関連規程
- 残留リスク
5.リスク分析表
リスク分析のサンプルを説明していきます。
今回は名刺を例にします。
名刺を取得から廃棄までの流れを記載すると以下になります。その内容を反映したリスク分析表を、参考に掲載しております。
「名刺、個人情報Aの場合」
(取得・入力)取引先の方から手渡しで名刺を取得する。
(移送・送信)取得した名刺を事務所へ持ち帰る。
(利用・加工)名刺を閲覧する。
(委託・提供)無し。名刺を委託業者へ委託しない。
(保管・バックアップ)鍵付きのキャビネットにて保管する。
(廃棄・消去)シュレッダーにて廃棄する。
※ 添付資料がリスク分析表のサンプルです。
6.よくある失敗事例
よくある失敗事例の紹介をすると、グルーピングできる物をグルーピングしていないことが挙げられます。
例えば、要求事項「3.3.3 リスクなどの認識、分析及び対策」への対応においては、リスクなどの認識、分析及び対策を把握する場合、ライフサイクルが同じものはグルーピングが可能です。
つまり、先ほどの名刺の例と全く同じ「取得・入力」から「廃棄・消去」までのリスク分析結果となる個人情報Aがあるとします。
この個人情報Aは名刺と同時にリスク分析を行ってもよいということになります。
このようにして1シートに1情報とすると膨大な量になり管理が出来なくなるため、グルーピングできる物はグルーピングして管理していきましょう。
まとめ
Pマークのリスク分析表は、個人情報の取扱フローに従って取得~廃棄までの流れでリスクを特定・分析していきます。
具体的な取得方法をイメージしたら、その場合にどんな事故・事件が起こりうるのかを検討してリスク分析表を作ります。
Pマークリスク分析表は個人情報管理台帳と整合させるような様式が良いが、管理をしやすくするためにグルーピングをすることをお勧めします。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
とは?制度の成り立ちや取得のメリットを紹介-480x270.png)
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ