リスクアセスメントが完了したら、担当者と期限を設定し、リスク対応を進めていきましょう。
規格対応箇所
J.3.1.4 個人情報保護リスク対応
用語の説明
残留リスク
- リスク対応後に残っているリスク
- 受容するリスク(放置しておいてよいリスク)ではなく、現時点では困難であるが、短期的若しくは中長期的に対応していくリスク
- 個人情報の不適切な取扱い(不正な取得・目的外利用など)に関するリスクについては、法令遵守の観点から、全て対応する必要があるため、残留リスクとすることは認められない
要求されていること
規格的には以下を要求しています。
- リスクへの対応手順を定める
- リスク対応の計画を策定する(対応内容、スケジュール、責任者や責任部署)
- リスクへの対応を実施する
- 実施した内容はトップマネジメントの承諾を得る
- 実施内容の記録をとる
個人情報保護法としては「安全管理措置」という言葉で定めています。
(安全管理措置)
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、
滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
具体的には個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」にて講ずべき安全管理措置の内容が定められています。
やること
最終的には「リスク分析表」を作成し、個人情報に対してリスクを分析し、リスク対応が完了している状態を文書として見せることを目指します。
まずはリスク対応の判断です。リスクに対して、リスク対応が登録されています。対応済みであれば「実施済み」、これから対応する場合は「計画する」を選択し、期限と担当者を設定してください。
プリセットのリスク対応以外を設定したい場合は、リスク詳細の画面右下「リスク対応の追加」から登録してください。
講ずべき安全管理措置を網羅できているか、以下安全管理措置画面でチェックしましょう。
SecureNavi上で具体的に確認すべき内容についてはこちらを参照してください。
全ての安全管理措置が網羅できたら、リスク分析表をトップマネジメントに承認してもらいましょう
リスク分析表は「個人情報」に対して以下を適切に紐づけることで完成します。
- 保管場所:HW、SW、拠点
- 通信経路:NW
- 利用可能な組織:組織
承認前に網羅性を確認しておきましょう。
よくある質問と答え
すでに実施しているリスク対応について、実施計画を立てる必要はあるのか?
不要です。上記画像の通り、自動的にシステムで「実施済み」と記載されます。
同意を取るとは、どのような方法がありますか?
例えばWeb経由の場合、以下の二つを推奨しています
- ①本人による同意する旨のホームページ上のボタンのクリックに係るシステムログ
- ②ホームページの構造上、個人情報を取得する直前に必ず本人による同意をする旨のホームページ上のボタンのクリックが必須となっていること(ボタンクリックによる同意を経なければ取得できない)
いずれも法律的に制限はないのですが、個人情報保護委員会で類似の記事があります。Pマーク審査でも同等のレベル感が求められることが多いです。(逆に、申し込みと同意のアクションが同一になっている場合は、分けて設置することが求められる場合が多いです)
同意を取るシーンは、全て個別に取得する必要がありますか?ある程度まとめられますか?
一定まとめられます。大きくは以下の4つです(利用目的は一例です)。
- 顧客との商談時:マーケティングやイベント案内に利用する
- 顧客との契約時:契約管理や請求管理に利用する
- 社員との採用面談時:採用面談のみに利用する
- 社員との雇用契約時:勤怠管理や給与計算、福利厚生に利用する
考え方は「顧客か社員か」「契約前か契約後か」の掛け算になります。