Pマーク(プライバシーマーク)新規取得:残存リスクってなんだ?~リスクの3種類~


いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの茶谷です。

本日のテーマは「残存リスクってなんだ?~リスクの3分類~」です。

「残存リスク」という言葉、プライバシーマーク(Pマーク)を担当しているみなさんなら聞いたことがあると思います。
少し難しい話になりますが、プライバシーマーク関係なくこの「リスク」の認識はとても重要になるので最後まで頑張って読み進めてみましょう。

まず「リスク」についてお話しましょう。

「リスク」とは…

・リスク (英: risk)とは、一般的には、「ある行動に伴って(あるいは行動しないことによって)、危険に遭う可能性や損をする可能性を意味する概念」と理解されている。
(wikipedia先生より。 検索キーワード:「リスク」 「とは」 )

・リスクとは「組織の収益や損失に影響を与える不確実性」である。
(経済産業省「先進企業から学ぶ事業リスクマネジメント 実践テキスト」)

つまり「会社にとっての危険」=「事故(損益)につながる事」です。

ではPマーク上での「リスク」とは何でしょうか。
個人情報の事故というと漏洩事故を想像すると思いますが、大きくわけて以下の3つが該当します。

・漏洩(ろうえい)―個人情報が外部に流出すること
・滅失(めっしつ)―個人情報の内容が失われること
・き損(き損)  ―個人情報の内容の意図しない変更

それではそれぞれの事故事例を見てみましょう。

~メールアドレスの漏洩(ろうえい)事件~
(※個人情報漏洩事件・事故一覧より抜粋)

H市が11月6日に寄付者27人へ記念品の送付時期を尋ねるメールを送信した際、宛先を誤って設定したため。受信者間でメールアドレスが確認できる状態となった。
受信者からの連絡で問題が判明した。

また誤送信されたメールに対し受信者1人が返信した際、全員に返信する形で送信したため、メール内に記載された氏名や住所、電話番号が全員に送信されたという。

同市では、対象者に謝罪し、誤送信したメールの削除を依頼した。

解説:
メールのTO、BCC、CCの間違えによる漏洩事故は頻繁に起こります。一番報告される事故事例でしょう。みなさんも身に覚えがあると思います。
漏えい事件のほとんどはヒューマンエラーによるものが多いようです。日頃の安全管理に気を付けましょう。

~保管すべき文書の廃棄~
(※個人情報漏洩事件・事故一覧より抜粋)

K労働監督署において、アスベスト関連の労災関係書類を誤って廃棄していたことが8月24日に判明したことから、関係文書の保存状況について点検を実施したところ、13ある同局管轄すべての監督署において、同様の問題が発生していたという。

誤廃棄したのは、2000年度から2010年度までのアスベスト関連文書の一部。
健康診断の結果報告書など安全衛生関係書類1346件をはじめ、監督関係書類348件、平均賃金決定関係書類94件、労災関係書類54件などが含まれる。

これら文書は、2005年12月以降、廃棄せずに保存する規定となっていたが、徹底されていなかった。ま
た外部への情報漏洩については否定している。

解説:
本来保管し、使用すべき情報が廃棄や消去によって使用できなくなることを滅失といいます。
紙媒体の場合だと風に飛ばされてしまったり廃棄資料に混入してしまったりする事故が多いようです。
情報は大事な資産ですから、大切に保管しましょう。

~USBの破損~

き損に関してはなかなか良い事故事例がなかったので、あるあるな例を紹介します。

Pマーク担当者のAさんは年に1回の教育テストを全従業員300人から回収し、エクセルで受講者一覧をつくらなくてはいけません。
事務所でAさんが1時間かけてデータを入力し、上司へ報告するためにそのデータをUSBに入れました。

来訪のお客様がみえたのでUSBを机に置いて5分間席をはずしました。
BさんがやってきてAさんの机の横を通ります。すると服に引っかかってしまいUSBが床へ落下しました。
なにも知らないAさんは席につこうとした時にUSBメモリを踏みつけてしまいました。
接続部分が曲がり、USBメモリをPCに挿せません。データが取り出せなくなってしまいました。
Aさんはデータが使えなくなってしまったことを上司に報告し、もう1時間受講者一覧をつくりました。

解説:
PCなどの情報機器が壊れてしまう場合や、パスワードを忘れてデータを利用できない場合はき損となります。
正しく使えない場合が該当します。情報は常に正しい状態で管理をしましょう。

まとめ

リスクの3つの種類は理解いただけましたでしょうか。

みなさんはこの「リスク」=「危険」を回避するために行う様々な対策を行っていますよね。
たとえばメールを送る際には宛先のチェックを行っていますよね。これも対策です。

前置きが長くなりましたが、本日のテーマでいう残存リスクとはリスクとして認識しているが、いますぐ対策がとれないというものです。

一番わかりやすい例は紙媒体が多くて新たにキャビネットを購入しなくてはいけないが、予算と場所の都合上購入できない、セキュリティ管理のために指紋認証の鍵をつけたいが予算がない、などです。
こういった残存リスクは、いずれは解決したいという内容で認識をしてください。
指紋認証、光彩認証など費用をかければ良いセキュリティが得られますが本当に必要かどうかを考えてみましょう。

残存リスクの考え方はまずリスクを理解してから!
ということでリスクについての考え方を中心にご案内しました。

すでにPマークを取得している会社のみなさんはリスクの見直しの際はぜひ上記のリスクの考え方を思い出してみてください。
新規取得をお考えのみなさんはリスクの考え方、運用の相談なんでもお待ちしておりますのでお気軽にご相談ください。

\ お問い合わせフォームはこちら /

WEBお問い合わせ


【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス