リスク分析・評価表は、個人情報管理台帳で洗い出した、各業務あるい書類のフローに合わせて作成しないとダメでしょうか?
リスク分析・評価表は、個人情報管理台帳で洗い出した、各業務あるい書類のフローに合わせて作成しないとダメでしょうか?
例えば「採用業務」「給与業務」など・・・
頂いている見本は、全業務に対して網羅されていると思うのですが…
できればこれを使って、タイトルの業務名を削除して、全業務という位置づけにして、足りない部分があれば、追加するなどの方法がありがたいのですが。
結論から言いますと、個人情報管理台帳で洗い出した、各業務で使用している書類のフローに合わせて作成しないとダメだと考えた方が良いかと思います。
ちなみに、絶対ではありません。
大変だとは思いますが「採用業務」「給与業務」など毎に作成されることをお勧めします。
最近の現地審査ではJIPDECの審査員にもよりますが、個人情報管理台帳で洗い出した個人情報が、
「フローの何処に対応するのですか?」
「リスク分析・評価表の何処に対応するのですか?」
「業務フローの収集時の盗難(リスク)は、リスク分析・評価表の何処に対応するのですか?」など、
リスクアセスメントで作成された様式間の対応付けについて深く質問してくる傾向にあり指摘を受ける可能性が多くなっています。
中には、個人情報の1つ1つに番号を付与して、その番号をフローやリスク分析・評価表にも明示しねければいけないと指摘をする審査員もいます。
※参考までに…
指摘事項としては、以下の様な指摘をされる可能性があります。
◆個人情報の特定(3.3.1)及びリスクの認識分析及び対策(3.3.3)
個人情報を「個人情報管理台帳」に特定し、「リスク分析・評価表」にて、ライフサイクルに沿ってプロセス毎にリスクを分析し、対策を講じていますが、特定された個人情報がどのプロセスのどのリスク分析・対策と関連しているかを明確にしていない。