| プライバシーマークTop > | 個人情報管理台帳の作成とリスク分析由 |
|
プライバシーマーク取得のための実践
¥3,150.-
(本体3,000円)

こちらから【商品番号24】です
【概要】
1.個人情報管理台帳の作成
個人情報管理台帳を作成するには、個人情報を特定することから開始します。
個人情報を特定するための早道は、業務フローを作成します。
流れは、以下の通りです。

ライフサイクルの局面で、どのような作業を行うか考慮してフローを作成します。
この、フローから次の個人情報を洗い出すことが出来ると思います。
同様に営業日報、見込顧客DBから抽出したデータ、送信した電子メールなども個人情報管 理台帳に転記
します。
3.リスクの認識
リスクの認識も業務フローを用いて実施します。
一番苦労されるのが、リスクの認識と分析、それと安全管理だと思います。
業務フローから個人情報を特定しましたが、同じようにリスクも特定します。
特定したリスクを認識して分析し、その結果によってリスクを軽減する対策を講じる、この講じる対策を安全管理に反映
する、というように一連の作業で行います。
プライバシーマーク = 安全管理 のように捉えている方も多いようですが、安全管理は個人情報を保護するための管
理策であって、この一連の作業がなければ無駄な対策を講じることにもなりかねません。
例えば、個人情報を取扱う場所(セキュリティゾーン)は特定の社員しか入れないようにするために、カードキー方式の入
退室管理を導入した、しかしその一方で、セキュリティゾーンのコンピュータネットワークは、他のゾーンと切断されて
いなく社内のPCからセキュリティーゾーンに設置されているサーバに自由にアクセスできる状態だった。お金を無制限に
使えるのなら別ですが、限られた予算の中で対策を講じるためにも、リスクの認識、分析を充分に行います。
リスクを特定する際は「甘からず辛からず」を心掛けなければなりません。
甘からずは「これ位で良いだろう」を避けるため、辛からずは「石橋叩いて渡らず」を避けるためです。
リスクの認識は、人によって判断は様々です。絶対はありません。
リスクの分析方法も、ITセキュリティマネジメントガイドライン(GMITS: TR 13335)を用いることが多く審査においても
認められやすいのですが、長短所がありますのでどの方法を用いるかは企業の経営者の判断しだいです。