正しい食生活・健康・自然食品・伝統食品・食育・食養・ナチュラル・オーガニック他情報を提供します。

特定非営利活動法人全日本健康自然食品協会

特定非営利活動法人 全日本健康自然食品協会

リンク | サイトマップ

 HOME > これまでの会報 > 会報連載記事 > 個人情報の保護法の施行に伴う対策についてvol.4

会報連載記事

個人情報の保護法の施行に伴う対策について(4)

株式会社 創健社 環境管理責任者 福永 安里

今回は具体的にPマークを取得するための手順を考えてみたいと思います。

まず最初にすることはJISQ15001規格項番からしますと、4.2「個人情報保護方針」の策定と言うことになります。これは、事業者の代表者が定めることになっていますから、社長や、理事長など、組織のトップに作っていただくことになります。中身は規格のa)〜d)までを含むこととなっていますが、繰り返しになりますので前月の内容をご覧下さい。

実務作業の中でまず最初にやるべき仕事は4.3.1「個人情報の特定」です。これが、一番大切な作業であるとともに大変な作業です。ここで間違えてしまうと、やっていることすべてが無意味になってしまうので、慎重にかつ細心の注意を払いましょう。

●組織で扱っているすべての個人情報を調査する。
●保有するすべての個人情報の洗い出しを行う。

(1) 個人情報の特定の仕方には次のようなことが考えられます。
  1)調査対象の個人情報の定義
  2)調査対象範囲
  3)調査依頼方法・依頼経路
  4)調査依頼先部門の調査責任者の氏名とその責任内容
  5)調査項目、記載方法
  6)調査期限
  7)調査結果が依頼した範囲を網羅した結果であることについて部門の調査責任者の確認
  8)新たな事業や業務の企画時の、個人情報の追加について追加調査の手続き
  9)調査媒体の特定「電子媒体(サーバー、個人PC,携帯電話、移動メモリー)紙媒体(キャビネット・個人机等書類保管庫、手帳など)」

(2) 個人情報を特定するための調査シート(例)

(3) 既存業務の流れと個人情報の取扱の洗い出し
まずは、現状の業務のやり方における個人情報の流れを、業務フロー図やデータ(帳票)フロー図に整理します。
  1)個人情報利用目的を明確にする。(引き続き必要かどうか)
  2)取り扱う個人情報の範囲の適切性を検討する。(業務上必要のない情報まで保有していないかどうか)
  3)個人情報の利用・提供の適切性の検討(業務上必要な範囲を超えて利用されていないかどうか)
  4)個人データの適正化の検討(誤り無く、完全な状態を保ち、最新の内容が保持されているかどうか)
  5)個人情報の安全性の検討(不正アクセス、情報の紛失、破壊、改ざん及び漏洩)
  6)複製データの処置、原データの廃棄方法の検討(複製データの必要性、必要範囲が適切かどうか。配布、保管、廃棄方法が適切かどうか)
  7)個人情報を扱う業務を委託先の選択と監督方法の検討(委託先への個人情報への移転・返却方法、セキュリティ管理が適切かどうか)

(4) 個人情報に対するリスクアセスメント(評価)
個人情報で特定した情報について「リスクアセスメント(評価)」をします。リスクの大きさは以下の3点から評価します。
  1)情報の資産価値(重要性)
  2)脅威(影響度)
   ・情報主体(本人)が被る被害の大きさ
   ・会社の信用失墜度
   ・取引先への影響の大きさ
   ・営業上・事業上の損失
  3)脆弱性(程度)
   ・良好な管理策が講じられており、問題が発生することはない
   ・適度な管理策が講じられており、問題は発生しにくい
   ・対策は実施しているものの、限定的で、脅威によっては問題が発生する/管理策の改善・強化が必要である   ・全く管理策が講じられておらず、脅威に対して極めて脆弱である脆弱性は、地震、台風、火災などの天変地異から、ハードウェア、ソフトウェアの問題、人的要因、外的要因などすべてを網羅して考慮します。

(5) 個人情報のリスク評価が決まったら、その情報資産に対するリスクへの対策(リスク対応方法及びリスク低減のための管理策)を検討します。
リスク対策は以下の四つの方法が考えられます。
  1)リスク回避
   ・個人情報を持たない
   ・個人情報をデータベース化しない
   ・情報処理機器を外部接続しない
  2)リスク移転
   ・自社で個人情報を扱わず外部サービスを受ける
   ・損害保険をかける
  3)リスク保有
   ・リスク発生時に個別対処することで影響の防止ができる。(少額で対処可能)
   ・影響が少ない情報なので対処不要。(大した問題にならない)
   ・重大な災害等については、業務停止はやむを得ない。(発生したらあきらめる)
   ・発生の可能性が低いリスクなので対処しない。(費用対効果が低い)
  4)リスク低減
   ・物理的な管理策をとる(入退室管理、装置のセキュリティ、クリアデスク)
   ・技術的な管理策をとる(業務のセキュリティシステム受け入れ、アクセス管理、データバックアップ、アクセス管理、ネットワーク管理、暗号化、ログ管理)
   ・人的な管理策をとる(職務定義、職責、懲戒手続き、外部委託管理、機密保持契約等)

リスク対策は、あくまでも費用対効果なので、3)のような対策が出てきます。あくまでも、損失をくい止めるためにいくら掛かるかという問題にならざるを得ません。従って、命や財産に関わることならできうる限りの対策をとらなければならないでしょうが、それも含めてリスクアセスメントの結果によります。
リスク対応策まで考えられたら、一段落。次回は法令その他の規範を見ることにしましょう。

次号へつづく