Scribble at 2025-10-08 10:14:21 Last modified: unmodified

個人情報保護マネジメントシステムの解説で、多くの書籍やブログ記事などでは不十分な説明しか書かれていないせいで、とりわけ JIS 15001 の運用に従事する人々を困惑させている事項が多々ある。しかし、JIS や法令が継続的に改定されていて、まとまった解説を書籍として執筆・編集することが難しく、また出版の事業としても数年しか売れない本を出すことには消極的であることから、実際のところプライバシーマークの使用許諾を受けた事業者向け(あるいはマークの使用許諾を受けたいと考える事業者)の参考書というのは、数も少ないし、あるとしても何年前かの改定に対応しただけの古いものであるか、あるいは当時の知識から言っても出鱈目なことを書いている駄本だったりする。つまり、JIPDEC が出しているガイドブック(『個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応』)を除けば、信頼できる参考書は殆どないと言って良い。

なお、ここでは JIS の運用に対応する内容に限定しているので、個人情報保護法という法令の解説書なら信頼できる参考書がいくつかある。だが、個人情報保護法の知識だけでは JIS の運用はできないのであって、プライバシーマークの使用許諾を受けたり、既に使用許諾を受けている事業者での実務には、更に詳細で厳しく具体的な実務経験や規格の理解が必要となる。

ということで、とりわけ初心者が規格書(JIS Q 15001:2023)を読んで分かりにくいと感じることがらの一つに、「リスク分析」と「リスクアセスメント」の区別がある。まず簡潔に言えば、リスク分析とは個人情報として特定された情報の取扱にリスクがあるかどうかを洗い出して、それがどのようなリスクなのかを分類したり分析することだと説明できるだろう。いわば、個人情報を特定した後に行う、「リスクの特定」がリスク分析だと言ってよい。もちろん、個人情報として特定された情報は、事業者の業務で情報を取得したり管理したり利用したり廃棄するといった、「ライフサイクル」の中で運用されるため、このライフサイクルでそれぞれのフェイズにどういうリスクがあるかを調べたり考えることが具体的な実務となる。そのために、たとえば「従業員の履歴書」という物品に記載されている個人情報を、採用時に本人から貰い受けたり(個人情報の「取得」フェイズ)、それを人事担当者がキャビネットへファイリングしたり(個人情報の「保管」フェイス)、退職した従業員の履歴書を一定の年限を設けてシュレッダーにかけたり溶解処理へ委託する(個人情報の「廃棄」フェイズ)といった、それぞれのフェイズでどんなリスクがありうるかを、人事担当者にインタビューしたり、実際にどう扱っているかを観察して、たとえば「キャビネットに鍵がない」というリスクがあるとか、「従業員ごと、あるいは年月ごとに分類してファイリングしていない」というリスクがあるとか(これを「リスク」と言うのは違和感があるかもしれないが、媒体を分類していないと必要なときにどこへファイリングしたのかわからなくなることがあり、情報つまり記録媒体の保管が不十分だと紛失も同然となり、これはこれで一つの管理不足というミスに該当する。あまりにひどい場合は、もちろんプライバシーマークの現地審査員から「不適合」の指摘を受けることすらある)、そういったリスクを洗い出してリスクの特性を分類するのがリスク分析だ。

これに対して、「リスクアセスメント」は "assessment" (= making a judgment about something) という言葉が表すように、どのような種類でどういう特性があるかを分析したリスクの深刻さを見積もることである。したがって、リスクがどのていど深刻であり、それは事業者としてどのように対処すべきなのかという「リスク対応」の基準になる評価をするのがリスクアセスメントだ。そして、そのためにはどういう情報にどういうフェイズでどんなリスクがあるのかを特定しておかないといけない。見出していないリスクを評価することは不可能であるし、一般論として「これは危ない」などというだけで事業者が予算をつけて具体的に何かをするというのでは、必ず見落としや思い込みによる別のリスクが起きる(たとえば、事業所に無断で入ってくる泥棒が世の中にはいるものだという一般論だけで事業所のドアに鍵をかけるとしても、そういうやりかただけで十分に泥棒が防げるかというと、そういうものではない。なぜなら、「泥棒」は窓やドアの鍵を開けて入ってくるだけではなく、標的型攻撃メールやフィッシングやソーシャル・エンジニアリングといった手法でも事業者の資産を盗み出すことができるからだ。窃盗というだけで外部から事業所への侵入者だけを想定していると、別の経路で情報を盗まれることを忘れるというリスクが放置されてしまう)。

このように説明すれば分かるかと思うが、規格書にはリスクについての一般論である 6.2.1 とリスクアセスメントについて述べた 6.2.2 のどちらにも「個人情報保護リスクを分析する」という言葉が出てくるので、具体的に何をすることがリスク分析であり、リスクアセスメントなのかが分かりにくくなる。だが、6.2.1 はあくまでもリスクマネジメントの一般的な流れを説明していて、6.2.2 はリスクマネジメントの一部であるリスクアセスメントを説明しているので、これらの関係を正確に理解すれば、何をすればいいかは分かってくると思う。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る