新たに収集する個人情報に対するリスク分析
すでに保有している個人情報については、前述のようなリスク分析を行うことで対応が可能ですが、新たに収集を行う個人情報についてもリスク分析が必要になります。新たな個人情報の収集については、担当者が勝手に始めるようなことがないように手続きを明確にしなくてはなりません。手順として申請書などを用意するとよいでしょう。
例えば、利用目的についてJIS Q 15001では、以下のような要求事項があります。
4.4.2 個人情報の収集に関する措置
4.4.2.1 収集の原則
個人情報の収集は、収集目的を明確に定め、その目的の達成に必要な限度において行わなければならない。
収集に際し、利用目的を特定するとともに、収集する個人情報がその目的の達成に必要なものかどうかを評価しなければなりません。こういったチェック項目を盛り込むことでJIS Q 15001の要求事項を網羅していくことができます。預託や提供があるかどうかも重要なチェック項目です。預託先、提供先との契約の有無なども明確にするようにします。
個人情報登録時のチェック項目例
- 業務責任者
- 取り扱い業務名
- 業務の概要
- 個人情報の利用目的
- チェックポイント
収集
収集元は?(直接収集か間接収集か?)
利用目的の通知手段は?
預託
預託の有無は?
契約の有無は?
提供
提供の有無は?
契約の有無は?
廃棄
廃棄方法は?
廃棄予定日は?
また、新たな個人情報についてもリスク分析が必要です。前述のように一覧に載せてからリスク分析を行うのも1つの方法ですが、収集時に情報の形態や保管場所、情報の流れなどを想定し、リスク分析を行うことができます。この場合は、個人情報を新規に登録するためのリスク分析のチェックシートを用意しておくと便利です。
リスク分析のまとめ
プライバシーマークの審査においては、リスクを把握したうえで対策を取っているかということが重要なポイントになります。全般的なセキュリティを強化するために、入退室のルールを作ったり暗号化などの技術的対策を導入したりすることは効果的であるといえますが、それらがリスクに応じた対策でなければ、プライバシーマークの審査時には「指摘事項」となってしまいます。今回紹介したように、「どんなリスクがあるからこの対策をとった」ということが明確になるようにリスクと対策を結びつけたまとめ方が有効です。
次回は、個人情報保護方針の策定とコンプライアンス・プログラムの策定について解説していきます。
筆者紹介
NECソフト株式会社
営業本部 コンサルティンググループ
ISMS審査員補/認定プライバシーコンサルタント(CPC)
直江 とよみ(なおえ とよみ)
個人情報保護対応のコンサルティング業務を中心に担当。 NECソフトでは、ISMSやプライバシーマークなどの取得支援サービスを提供しています。
Copyright © ITmedia, Inc. All Rights Reserved.