リスク分析表の書き方について
プライバシーマーク構築パッケージの中にある「リスク分析表」に関して質問します。
この「リスク分析表」ですが、個人情報データごとにシートをかえればよろしいでしょうか。
現在の私の業務に関して29の個人情報データがありますので、シートが29枚(29×7=203枚)+情報の媒体違いで多分100枚位(多分、合計300枚以上)できますが、よろしいですか?
また、リスク分析表で、書類名を記載する項目がありません。
業務名は「採用」「経理」といったようなものを記載する欄だと思いますが、たとえば、採用業務で使用する履歴書である、ということがわかるよう、どこかに「履歴書」と記載したいのですが、どこに記載すればよろしいですか?
同じ書類名でも「紙」と「電子データ」は分けるよう説明をうけましたが、それはどこに記載すればよろしいでしょうか。
まず、この様式は「業務フロー」と1対1で対応しており業務フローが5枚あればリ「スク分析・評価表」も5枚作成するようになります。
例えば、採用業務で1枚の業務フローを作成しているのであれば、採用業務の「スク分析・評価表」を1枚作成します。
ご質問では、”個人情報データ”毎に「スク分析・評価表」を作成しているように読めますが、業務毎でも結構です。
なお、ご質問の通りの方法で”個人情報データ毎”に「スク分析・評価表」を作成されても間違いではありません。
※本様式を作成・運用する目的は、業務での個人情報のサイフサイクル(業務フロー:収集、利用、保管、廃棄など)で考えられたリスク(不正アクセス、盗難など)を分析・評価し、対策を講じてリスクを低減することですので、この目的が達成できるのであれば、様式の作成方法は各企業で考えられた方法で何ら問題はありません。
記載場所については、”想定されるリスク”欄を2行に分けて、下段に記述されてはいかがでしょうか。
PMの審査でも審査員から、様式名が分かる様にこの様式に”対応する様式名”欄を設けることを推奨される方もいらっしゃいますので、自発的な良い取組み・改善だと思います。
「経歴書(紙)」、「経歴書(電子データ)」と記述に関しては、上記回答と同様の対応でされてはいかがでしょうか。
