TFKトピックス2月号です！

今月は【個人情報保護リスクアセスメント】について解説します。

今週になってようやく暖かくなってきました。北国では一気に雪解けが進みそうですね。

この時期に梅の花が咲くと、いよいよ春も近いと感じさせてくれます。

皆さんお変わりありませんか。ＴＦＫの中村です。

梅（ウメ）は、バラ科（Rosaceae）サクラ属（Prunus）に分類される落葉小高木です。冬の終わりから春の訪れを知らせるように咲く美しい花は、日本では古くから親しまれています。

 小ぶりな花は一重咲き・八重咲きなどさまざまな形があり、白・紅・ピンクの花色が庭先や公園を彩ってくれます。

 ところで花見の起源には諸説ありますが、時代をさかのぼると、奈良時代には、貴族が梅を好み鑑賞していたようです。現代では花見と言えば桜を指しますが、当時は中国から伝来した梅の花が主流だったのです。

 梅の花期は、まだ寒さの残る1月下旬～3月頃。香りが高く、庭木や公園樹として人気が高い一方、5～6月にかけて収穫できる梅の実は、果実を梅干しや梅酒などの加工品として利用できる点も魅力ですね。

SPECIAL TOPIC　

【個人情報保護リスクアセスメント】について

「個人情報保護リスクアセスメント」とは？

組織や企業が持つ情報資産にどのようなリスクがあるかを特定・分析し、評価を行うプロセスのことを「個人情報保護リスクアセスメント」と言います。

☞目的は？

組織における、情報セキュリティリスクの対応策を見極めることを目的としています。

  
リスクの重大性を認識し、対処すべきかどうか判断することで、未然に情報漏えいなどの事故を防ぐことができます。

📍POINT　そもそも、個人情報保護リスクとは？

個人情報保護リスクとは、個人情報の取扱いの各局面（個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等に至る個人情報の取扱いの一連の流れ）において、適正な保護措置を講じない場合に想定されるリスクを指します。

なお、個人情報保護リスクは、以下の観点において特定することができます。

➢ 個人情報ライフサイクル

➢ 個人情報の性質

➢ 個人情報に係る情報処理施設及び個人情報に係る情報システム（あらゆる情報処理のシステム、

　　サービス若しくは基盤、又はこれらを収納する物理的場所）

➢ 事業者が既に講じている安全管理措置

※リスク所有者とは、当該リスクに関して対応を行う責任及び権限を有する者を指します。

☞求められていること

【プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針】では、以下の事項を踏まえて、個人情報保護リスクアセスメントをするための手順を定め、かつ実施することを求めています。

📍POINT

②事業者は、個人情報保護のリスクを特定・分析、および評価をするための手順※を、内部規定として文書化しましょう！

③文書化した情報は、利用可能な状態にしておきましょう！

☞さらに詳しく解説します！

a)事業者が、リスクの特定・分析、および評価を行う際、リスクの分析結果の比較対象となるための基準＝リスク基準を定めることが求められています。

　リスク基準を策定する際は、画像内1)～4)を考慮する必要があります。

ｂ)リスクアセスメントが一貫性を有し、アセスメント結果が比較可能であることが重要です。よって、事業者が恣意的にリスク基準を定めることは望ましくありません。

　※ただし！例えば、法令の改正等が実施された場合は、改正後の法令に応じたリスク基準を定める必要があります。

ｃ)事業者は、生じ得る個人情報に関するリスクについて、包括的な一覧を作成することが重要です。そうでないと、その後のリスク分析、および評価を行うことができないためです。

☞プライバシーマークの審査では

以下のエビデンス例を確認します。

●個人情報保護リスクアセスメント及びリスク対応の手順に関する規定［J.4.5.4のc）］

●個人情報保護リスクアセスメント及び個人情報保護リスク対応に関する記録［J.4.5.5のc）］

●内部規程［J.4.5.4のa）～）を含む。］

●監視、測定、分析及び評価の記録［d.4.5.5のh）］

今回は、ボリューム大の内容となりましたが、ご理解いただけましたか？？

御社の情報資産について、どのようなリスクが存在するのか、事前に調査して洗い出し、その影響について知ることは、セキュリティインシデントを防ぐために重要なことです。

  これまで、セキュリティインシデントクイズで、様々な事例を皆さんと見てきましたが、あのような事故の二の舞いにはなりたくないですよね。今一度、理解を深めていただけたらと思います！

今月はここまで。ぜひ次月もお楽しみにお待ちください♪