TOP情報セキュリティ> 個人情報保護におけるリスクアセスメントの位置付けと要件
リスクマネジメント
トピックと手法から学ぶリスクマネジメント

第5回:個人情報漏洩のリスク評価
 著者:プライド   三澤 正司   2006/9/26
1   2  3  4  次のページ
個人情報保護におけるリスクアセスメントの位置付けと要件

   前回に引き続き個人情報保護に着目して、関連するリスクアセスメント手法を説明する。まずは、個人情報保護におけるリスクアセスメントの位置付けを確認する。
個人情報保護法

   個人情報保護法の骨子は以下の通りである。

  1. あらかじめ利用目的をできる限り特定し、その利用目的の達成に必要な範囲内でのみ個人情報を取り扱う
  2. 個人情報(注1)は適正な方法で取得し、取得時に本人に対して利用目的の通知・公表等をする
  3. 個人データ(注2)については、正確・最新の内容に保つように努め、安全管理措置を講じ、従業者・委託先を監督する
  4. あらかじめ本人の同意を得なければ、第三者に個人データを提供してはいけない
  5. 保有個人データ(注3)については、利用目的などを本人の知り得る状態に置き、本人の求めに応じて開示・訂正・利用停止などを行う
  6. 苦情の処理に努め、そのための体制を整備する

表1:個人情報保護法の骨子

*注1 :特定の個人を識別できる情報
*注2 :個人情報が検索可能なように整理されているデータ
*注3 :個人データのうちで、開示や内容の訂正などができる権限を持つデータ(除く6ヶ月以内に消去されるもの)
JIS Q 15001:2006「個人情報保護マネジメントシステム-要求事項」

   JIS Q 15001:2006「個人情報保護マネジメントシステム-要求事項」は以下に示す通り、「計画(Plan) → 実行(Do) → 点検(Check) → 処置(Act)」のマネジメントモデルを採用している。

  • 3 要求事項
  • 3.1 一般要求事項
  • 3.2 個人情報保護方針
  • 3.3 計画
  • 3.3.1 個人情報の特定
  • 3.3.2 法令、国が定める指針その他規範
  • 3.3.3 リスクなどの認識、分析及び対策
  • 3.3.4 資源、役割、責任及び権限
  • 3.3.5 内部規定
  • 3.3.6 計画書
  • 3.3.7 緊急事態への準備
  • 3.4 実施及び運用
  • 3.4.1 運用手順
  • 3.4.2 取得、利用及び提供に関する原則
  • 3.4.2.1 利用目的の特定
  • 3.4.2.2 適正な取得
  • 3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限
  • 3.4.2.4 本人から直接書面によって取得する場合の措置
  • 3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置
  • 3.4.2.6 利用に関する措置
  • 3.4.2.7 本人にアクセスする場合の措置
  • 3.4.2.8 提供に関する措置
  • 3.4.3 適正管理
  • 3.4.3.1 正確性の確保
  • 3.4.3.2 安全管理措置
  • 3.4.3.3 従業者の監督
  • 3.4.3.4 委託先の監督
  • 3.4.4 個人情報に関する本人の権利
  • 3.4.4.1 個人情報に関する権利
  • 3.4.4.2 開示等の求めに応じる手続き
  • 3.4.4.3 開示対象個人情報に関する事項の周知など
  • 3.4.4.4 開示対象個人情報の利用目的の通知
  • 3.4.4.5 開示対象個人情報の開示
  • 3.4.4.6 開示対象個人情報の訂正、追加又は削除
  • 3.4.4.7 開示対象個人情報の利用又は提供の拒否権
  • 3.4.5 教育
  • 3.5 個人情報保護マネジメントシステム文書
  • 3.5.1 文書の範囲
  • 3.5.2 文書管理
  • 3.5.3 記録の管理
  • 3.6 苦情及び相談への対応
  • 3.7 点検
  • 3.7.1 運用の確認
  • 3.7.2 監査
  • 3.8 是正処置及び予防処置
  • 3.9 事業者の代表者による見直し

表2:個人情報保護マネジメントシステム-要求事項

   リスクアセスメントは、「3.3.3 リスクなどの認識、分析及び対策」の「認識、分析」部分である。要求事項「3.3.3 リスクなどの認識、分析及び対策」は以下の通り定義されている。

   ——事業者は、3.3.1によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。

   ——事業者は、3.3.1によって特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏洩、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。
1   2  3  4  次のページ

株式会社システムインテグレータ 代表取締役 梅田 弘之
 著者プロフィール
株式会社プライド  三澤 正司
ITコーディネータ
プラント会社勤務時に、情報システム分野およびシステム開発方法論に興味を持ち、株式会社プライドに入社。主としてプロジェクト支援、標準化支援、教育に従事するが、ここ数年は、情報セキュリティ、管理業務に関わる支援の比重が大きくなってきている。
INDEX
第5回:個人情報漏洩のリスク評価
個人情報保護におけるリスクアセスメントの位置付けと要件
  要求事項と個人情報保護法との関連
  不正利用
  リスクアセスメント手法の適用