先日出席した会合で、このコラムの読者の方とたまたまお会いしました。その方から前回のコラムに関して次のような質問を頂きました。

『JISの3.3.3「リスクなどの認識・分析及び対策」において、特定した個人情報はその取扱いの各局面におけるリスク（個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ）を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。とありますが、「想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ」はどこでどのように評価するのでしょうか？』

今回のコラムではこの質問について解説したいと思います。

■ 評価の方法
評価の方法には二種類の方法があります。一つは「全て影響度に反映させる方法」と、もう一つは「情報資産価値というもう一つのファクターを作る方法」です。

■ それぞれのリスク値を計算する
二種類のリスク値の計算（定量化）は以下のような式になります。

■ 計算結果を基にリスクを分析する
○リスク値Aについて
通常各要素は1〜3（小・中・大）程度の数値を適用しますから、リスク値Aは1〜9のレンジをもつことになります。
○リスク値Bについて
リスク値Bは通常、［C 機密性］［I 完全性］［A 可用性］などのファクターを掛け合わせ、結果を4ランク程度に置き換えますから、4×9（既出）＝36になります。
○結果として言えること
リスク値Bは、1〜36の広いレンジをもつことができ、また、分析結果をトレースしやすくなることから、細かな安全対策が可能になります。
つまり、リスクの構成要素が可視化、具体化できており、対応する管理策の適用がしやすいということになります。

このように、安全対策（特に技術的安全対策）は具体的なリスクに対して適用すべきものであって、一般的に、この局面にはこの管理策というようにデフォルトで適用すべきものではありません。

名だたる大手企業がきちんとしたリスク分析をせずに、不明瞭なレベルの安全対策しかしていないことによって、今日の様々な事件事故が起きているのではないでしょうか。

■ プライバシーマークは一定の安全対策がなされていることを保証しているわけではありません！
このような話をすると、「えっ！？　ここのところをきちんとやっていなくてもプライバシーマークはとれるのですか？」と聞かれますが、答えはYESでもありNOでもあります。
当然、安全管理がなされていることが申請の前提要件ですから、一定レベルの安全管理策が整備・運用されているはずです。
しかし、プライバシーマークの審査は情報セキュリティの一定の管理基準を満たしているかどうかの審査をするわけではありません。つまり安全管理は、あくまでもその企業の個人情報保護の仕組み作りにおける情報セキュリティポリシーの枠組みの中で、整備・運用すべきものであり、その企業の情報セキュリティ・ガバナンスの水準が顕著に表れる部分と言っても過言ではありません。
したがって、この安全管理の構築レベル（適正レベル）に関する考え方は「企業の品格」が問われる部分でもあります。

ＪＩＳは、3.4.3.2 「安全管理措置」において、以下のように述べています。
「事業者は、その取り扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じなければならない。」

実に味わい深い規定だと思います。「リスクに応じて必要、かつ、適切な措置」の意味を易きに理解していないでしょうか。事件事故発生時における情報主体本人に対する影響の大きさ、自社のブランド失墜の影響の大きさを本当にファクターの一環として考慮しているでしょうか。もう一度見直していただきたいと思います。

■ 安全管理の見直し実施時に考慮すべき8項目
安全管理の見直しを実施する時に考慮すべき点は8つあります。特にJIS Q15001：1999適用企業は要注意です。