- 「想定される事象」をリストから入力すると「リスク分析表」が作成できます。
- リスク分析表、安全管理措置、管理台帳の基礎データが同時作成できます。
【リスク分析表作成ツール同梱品】
|
1.
|
リスク分析表作成支援ツール.xls |
|
2.
|
リスク分析表作成支援ツール(サンプル).xls |
|
3.
|
個人情報管理規程.doc |
|
4.
|
個人情報管理台帳.xls |
|
5.
|
リスク分析表作成支援ツール説明書.pdf |
|
6.
|
Pマークの実践【個人情報管理台帳の作成方法】.pdf |
ご注文は こちらから
カテゴリー「解説書」の【商品番号28】です。
ショッピングサイトの直行はこちらです。別ウィンドウで開きます。
Pマーク取得実践【個人情報管理台帳の作成方法】の内容は以下の通りです。
- 【はじめに】
- 【スムーズな運用を目指すには】
- 【個人情報を特定するには】
- 【業務フロー、個人情報管理台帳、リスク分析表の作成】
Step1 業務フローの作成
Step2 業務フローを用いて個人情報管理台帳に個人情報を特定する
Step3 業務フローを用いてリスクを認識する
Step4 認識したリスクを分析する
- 【残存リスクと安全管理】
Step5 残存リスクの認識
Step6 安全管理規程
Step7 個人情報利用目的一覧表の作成
- 【終わりに】
【概要】
1.個人情報管理台帳の作成
個人情報管理台帳を作成するには、個人情報を特定することから開始します。
個人情報を特定するための早道は、業務フローを作成します。
流れは、以下の通りです。
2.業務フローの作成
次の業務フローは、営業の新規顧客獲得業務についての例です。
ライフサイクルの局面で、どのような作業を行うか考慮してフローを作成します。
この、フローから次の個人情報を洗い出すことが出来ると思います。
- 顧客担当者の基本情報(名刺)
- 営業日報(営業日報のファイル)
- 見込顧客DB
- 見込顧客DBから抽出したデータ
- 送信した電子メール
これで「個人情報の特定」をすることが出来ますので、個人情報管理台帳に転記します。
- 個人情報名:見込顧客DB
- 個人情報の項目:顧客担当者基本情報
(顧客の基本情報は、個人情報利用目的一覧で詳細内容を定めておきます)
- 利用目的:新製品の紹介
- 保管場所:○○サーバ
- 保管形態:データ
- 利用期限:次回更新まで(1年間など)
- アクセス権:当社社員又は部門責任者が許可した従業者
同様に営業日報、見込顧客DBから抽出したデータ、送信した電子メールなども個人情報管 理台帳に転記
します。
3.リスクの認識
リスクの認識も業務フローを用いて実施します。
認識したリスクに対しては、どのような安全策が必要かなどを洗い出し、それを講じるべき対策案とします。<
BR>
4.リスクの分析
認識したリスクの対策が適切であるか、あるいは認識した内容が充分かなどをリスク評価指標を用いて分析し
ます。
一番苦労されるのが、リスクの認識と分析、それと安全管理だと思います。
業務フローから個人情報を特定しましたが、同じようにリスクも特定します。
特定したリスクを認識して分析し、その結果によってリスクを軽減する対策を講じる、この講じる対策を安全管理に反映
する、というように一連の作業で行います。
プライバシーマーク = 安全管理 のように捉えている方も多いようですが、安全管理は個人情報を保護するための管
理策であって、この一連の作業がなければ無駄な対策を講じることにもなりかねません。
例えば、個人情報を取扱う場所(セキュリティゾーン)は特定の社員しか入れないようにするために、カードキー方式の入
退室管理を導入した、しかしその一方で、セキュリティゾーンのコンピュータネットワークは、他のゾーンと切断されて
いなく社内のPCからセキュリティーゾーンに設置されているサーバに自由にアクセスできる状態だった。お金を無制限に
使えるのなら別ですが、限られた予算の中で対策を講じるためにも、リスクの認識、分析を充分に行います。
リスクを特定する際は「甘からず辛からず」を心掛けなければなりません。
甘からずは「これ位で良いだろう」を避けるため、辛からずは「石橋叩いて渡らず」を避けるためです。
リスクの認識は、人によって判断は様々です。絶対はありません。
リスクの分析方法も、ITセキュリティマネジメントガイドライン(GMITS: TR 13335)を用いることが多く審査においても
認められやすいのですが、長短所がありますのでどの方法を用いるかは企業の経営者の判断しだいです。
ファイル
