Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.3 リスクなどの認識、分析および対策(1) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.3 リスクなどの認識、分析および対策(1)

特集 特集

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column13.html

こんにちは。今回はシリーズとなっている、JISQ15001:2006の要求事項解釈の続きです。今回対象とする要求事項は、「3.3.3 リスクなどの認識、分析及び対策」です。本要求事項はリスク分析について言及している要求事項ですね。初めての方や慣れない方にとっては、何をすべきかイメージするのが難しいと思われます。

解説すると、このようになると思われます。Pマークは個人情報を管理する仕組みが適切である旨を証明する制度ですから、当然、取得事業者は、個人情報を漏えいや紛失、き損等から守らなければなりません。そのために、各社、事務所への入退室装置やバックアップなど、お金をかけて対策をとっているわけです。

しかし、それらの対策を自分達の思いつきで実施している場合、本当に個人情報の漏えいや紛失、き損から守っていると言えるでしょうか?ひょっとしたら自分達の気づいていないところで、ものすごく危ないところがあるかもしれません。であれば、対策を取る前に、きちんと現状を調査し、弱いところを洗い出し、その弱点を埋めるような対策を取ることが必要ではないでしょうか?

本要求事項は、まさにこのことを言っています。要求事項の文面を見てみても、それが読み取れます。

・3.3.1で特定した個人情報について、『その取扱いの各局面におけるリスク』を認識する。
・それらを分析する。
・(分析結果をもとに)必要な対策を講じる。

本要求事項では、リスク分析の方法として、「個人情報の取扱いの各局面におけるリスクを洗い出しなさい」と言っています。すなわち、個々の個人情報(紙やデータ)の取扱いの各局面(取得・入力・移送・送信・加工・保管・バックアップ・消去・廃棄)において、どのようなリスクがあるか洗い出しなさいということになります。

具体的な例として、とある会社の履歴書で考えてみましょう。

・取得:本人から郵送で取得している。
⇒郵便受けを施錠していないため、郵便受けから盗難されるおそれがあります。

・入力:履歴書の内容を、エクセルに打ち込んでいる
⇒打ち間違いによる、正確性が欠落するおそれがあります。

・移送、送信:不採用者の履歴書を、メールで返信している。
⇒誤送信により、第三者にその内容が渡ってしまうおそれがあります。

・保管:人事部のキャビネットに保管している。
⇒キャビネットに施錠していないため、盗難されるおそれがあります。

・廃棄:普通ゴミとして廃棄している。
⇒ゴミ捨て場等から、盗まれるおそれがあります。

上記は簡単でかつ、分かりやすい例になります。もっと複雑なプロセスだとしても、リスク洗い出しの観点(許可されていない第三者によるリスク、許可されている第一者によるリスク等)を増やしたとしても、基本的な考え方は同じです。

なお、JISQ15001の解説によると、リスクを洗い出す観点としては、以下が挙げられています…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column13.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×