- 締切済み
プライバシーマーク取得 書類審査指摘事項について
プライバシーマークの書類審査の結果が帰ってきました。何点か不適合と指摘されたのですが、どう直せばよいか理解できません・・・。お分かりになる方がいらっしゃいましたら、お助け下さい!! 指摘事項は下記の通りです・・・。 「CP運用規定5.リスク分析」で規定しているが、洗い出された個人情報について、ライフサイクルに応じたリスク分析を実施し、具体的なリスク予防と発生時の対策を講じる手順を具体的に規定していない。 現状、リスクというのは不正アクセス・紛失・改竄・破壊・漏洩だと思いますが予防というのは具体的にどうすればよいのか解りません。 ご回答宜しくお願いします。
- みんなの回答 (2)
- 専門家の回答
みんなの回答
リスク管理について具体的に行っていることは 個人情報の管理台帳に 情報の重要度 脅威の種類 脆弱性の種類 (脆弱性に対する)対策 などを表にして付け加えています。 情報の重要度というのは、その情報が漏洩した際に受ける影響度みたいなもので、その度合いが高いものほど、しっかりした対策を講じる必要があります。 対策の方法は低減、移転、回避などその情報の性質によって振り分けます。
個人情報を取り扱っている以上これらの行為を全く行っていないはずは無いと思いますので、それを規定として文章化しなさいということだと思います。 具体的には、いろいろな個人情報があると思いますが、それぞれの情報の入手から破棄にいたるまで、 ・それらの管理状態(どのような形で保存してあるのか) ・リスク(何がおきたら不正アクセス・紛失・改竄・破壊・漏洩などにつながるのか) ・そのリスクを回避するためにどのようなことをしているのか。 予防に関しては、コンピューター上にあるものは、ネットワークのセキュリティポリシーやウィルス対策などをどのように行っているかなど。 ・リスクが実際に発生したときに、どのような手順で処理を行うのか? その辺りを明文化しておきなさいということではないでしょうか?
お礼
大変参考になりました。 私ども中小企業の設備屋で社長の急な思いつきで プライバシーマークを取得しようと動いています。 幹部連中がみんな逃げていて平社員だけでシステムの構築を 行っている為四苦八苦している現状です。 コンサルも一応いたんですが、リスク分析なんてなにかしら やってあれば取得はできるよ!なんて適当な有様です。 なので、こういったアドバイスは本当に参考になります。 誠に有難うございました。 また、なにか解らない事がありましたら宜しくお願いいたします。
補足
早速のアドバイスありがとう御座います。 リスク分析を簡単に考えていた為、リスク分析事態がよく解らなくなってきました。根本的にリスク分析とは、どのようにすればよろしいのでしょうか。