B06-D04 リスク分析・評価表」における紙と電子データの扱い
2008/01/18 (2019/09/19)
Pマークサンプル文書集. 5,714 views
プライバシーマーク構築パッケージを購入しました。
現在、「B06-D04 リスク分析・評価表PTN2」を参考にして、作っています。
社内で質問があったのですが、情報の収集において、紙と電子データとは、異なるのでしょうか?
異なる場合、どのように評価表に記載すればよろしいでしょうか?
「紙」「電子データ」は、保管場所(ラックやPCなど)の違いや、脅威(電子データは、ウィルス感染の恐れがあるが、紙にはない)の違いがあるため、別ものとして扱う必要があります。
よって、行を分けて、記載する必要があります。
なお、様式「B06-D04 リスク分析・評価表」には「PRT1」(文書で表す方法)と「PTR2」(数値で表す方法)の2つのパターンがあります。
以前まではプライバシーマークの審査において、指摘されず問題はありませんでした。
しかし、ここ最近の審査を見ると、この「数値で表す方法」は、審査員が嫌う傾向があります(指摘をされる)。
「数値」ので表現は、「客観的でない」「全て文書でお願いします」などの指摘がありました。
「数値」が客観的でないという理由はおかしいのですが…
よって、できれば、「PTR2」よりも「PTR1」(文書で表す方法)を採用していただければと思います。
