個人情報の洗い出しが完了したら、各局面のリスクに対して、個人情報保護リスクアセスメントを実施します(少なくとも年1回実施)。
規格対応箇所
J.3.1.3
J.3.1.4
用語の説明
- 個人情報保護リスク
- 個人情報の取扱いの各局面(個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等に至る個人情報の取扱いの一連の流れ)において、適正な保護措置を講じない場合に想定されるリスク
- リスク所有者
- 当該リスクに関して対応を行う責任及び権限を有する者
- 個人情報保護リスクアセスメント
- 個人情報の取扱におけるリスクを洗い出し、分析し、そのリスクの影響度合いを考える(評価)こと
- リスクの評価とは、リスクの分析結果に基づき、リスク対応の優先付けを行うこと
- 個人情報保護リスク対応
- 個人情報保護リスクアセスメントの結果を踏まえ、リスクへの対応策を考え、それを実行すること
要求されていること
個人情報保護リスクアセスメントと個人情報保護リスク対応を行う時は、下記を考慮する必要があります。
-
- 内部・外部の課題や利害関係者からのニーズを考慮する
- PMSの目標を達成する
- 個人情報保護上、望ましくない影響を防止又は低減させる
- PMSを継続的に改善する
やること
SecureNaviではISMSと同じく「発生可能性」と「影響度」を使ってリスク分析と評価を行います。資産登録画面の右側に個人情報保護リスクがプリセットで提示されますので、点数をつけていってください。
よくある質問と答え
「少なくとも年一回」とあるが、運用フェーズでは何月にした方が良いなどあるか?
- 特に決まってなく、自由
- 新規取得時に行なったリスクアセスメントの時期(◯月)を運用フェーズでもそのまま使ってその月にするという運用で問題ない
「必要に応じて適宜に」とは例えばどのようば場合はあるか?
- 事業を変更したとき
- 組織に変更があったとき
- 個人情報保護に関する事故があったとき
個人情報の送信をしていない場合、リスクを却下してよいか?
却下いただいて問題ございません。リスクを洗い出す観点としては、ライフサイクル(取得、利用、送信、削除、保管)の観点があり、取り扱いの中で該当しないケースがあれば、却下いただいて問題ございません。