Pマークのリスク分析表は個人情報ごとに作成しますか?業務単位でのまとめるのか?
プライバシーマーク構築パッケージの中にある「リスク分析表」に関して質問します。
この「リスク分析表」ですが、個人情報データごとにシートをかえればよろしいでしょうか。
現在の私の業務に関して29の個人情報データがありますので、シートが29枚(29×7=203枚)+情報の媒体違いで多分100枚位(多分、合計300枚以上)できますが、よろしいですか?
また、リスク分析表で、書類名を記載する項目がありません。
業務名は「採用」「経理」といったようなものを記載する欄だと思いますが、たとえば、採用業務で使用する履歴書である、ということがわかるよう、どこかに「履歴書」と記載したいのですが、どこに記載すればよろしいですか?
同じ書類名でも「紙」と「電子データ」は分けるよう説明をうけましたが、それはどこに記載すればよろしいでしょうか。
プライバシーマーク(Pマーク)の運用において、「リスク分析」は最も工数がかかり、かつ審査でも重視されるステップです。
資産数が増えるにつれ、管理表の枚数が膨大になることへの懸念、非常によく理解できます。
結論から申し上げますと、「個人情報データごと(300枚以上)」に表を作成する必要はありません。最新版の弊社サンプル文書集(リスク分析対策計画表)の規定に基づき、効率的かつ審査でも高く評価される「業務単位」でのまとめ方と記載方法を解説します。
1. リスク分析は「個人情報単位」ではなく「業務単位」でまとめる
弊社の「PMSリスクマネジメント規程」では、個人情報を「業務及び管理部門ごと」に洗い出すよう定めています。
- なぜ業務単位なのか:
リスク(漏洩、紛失など)は、データそのものに付随するのではなく、「どのように扱うか(ライフサイクル)」というプロセス(業務フロー)に付随するからです。 - 具体例:
「採用業務」という1枚のシートの中で、「履歴書(紙)」「成績証明書(紙)」「適性検査結果(電子)」という複数の資産をまとめて分析します。これにより、300枚作成する必要があったものを、業務の数(例:採用、経理、販売など)まで圧縮でき、管理負担が劇的に軽減されます。
ただし、規定にある通り「ライフサイクル(取得・保管・廃棄のルート)が著しく異なるもの」がある場合は、別シートに分けることでリスクの見落としを防ぎます。
2. 「書類名」や「媒体(紙・電子)」の記載場所について
ご提案の「書類名を明記したい」という取り組みは、資産の特定を明確にするため、審査でも「自発的な改善」として高く評価されるポイントです。
最新の「リスク分析対策計画表」では、以下の方法での記載を推奨しています。
- 「業務名」欄を活用する:
「採用業務(履歴書)」のように、業務名に具体的な書類名を括弧書きで付記します。 - 「資産の特徴」または「備考」欄への追記:
資産が複数ある場合は、「想定されるリスク」欄の冒頭や、様式をカスタマイズして「対象資産名」という列を追加し、そこに「履歴書(紙)」「経歴書(電子データ)」と明記するのが最も分かりやすい方法です。
3. 「紙」と「電子データ」を分ける理由とコツ
「同じ情報でも媒体が違えば分ける」という指導は、「脅威(リスクの原因)」が異なるためです。
- 紙媒体のリスク: 放置によるのぞき見、シュレッダー忘れ、誤郵送など
- 電子データのリスク: ウイルス感染、不正アクセス、メール誤送信など
このように、媒体によって講じるべき「管理策(対策)」が変わるため、同じシート内であっても行を分けて記載し、それぞれに最適な対策を紐付けるのが正しい運用です。
4. 実務へのアドバイス
Pマーク運用で最も重要なのは「形骸化させないこと」です。
300枚のシートを作ってしまうと、その後の更新作業が困難になり、運用が止まってしまうリスクがあります。まずは「業務フローと対になる形」で集約し、その中で具体的な書類名や媒体ごとのリスクを整理することをお勧めします。
弊社の最新版「リスク分析対策計画表」は、こうした「網羅性」と「効率性」を両立できるよう設計されています。ぜひ、業務単位での集約を検討してみてください。
