|
JIS Q15001:2006個人情報保護マネジメントシステムの要求事項における「3.3.3リスクの認識項」は、リスク分析の方法論、メソッドについては規定していません。したがって、手続きの評価は事業者個々が適切に決めなくてはなりません。そのロジックについては前回までに概要を記述しました。
今回はリスクに対する管理策の適用と、目指すべきリスクの許容レベル(受容レベル)の考え方、適用した管理策の内部規程への反映、受容したリスク、残存リスクの管理方法を考えてみましょう。
■ リスク「R」の大きさの把握する
先ず、リスク「R」の大きさの把握は前回までにお話ししたとおり、以下のような要素でその大きさを把握します。
この部分に決まった方法はありません。事業者の実態、リスクアセスメントの目的によって調整してください。ただし、JISQ15001:2006では事業的影響や、社会的影響、本人への影響などを考慮しなければなりません。
リスクの大きさ「R」 = 脅威が実際におきた場合の影響度(*1)×脅威発生の可能性(*2)
*1 影響度は、以下を総合的に評価する。
・資産の持つ質的価値(C・I・A要求度合い)
・資産の量的価値
・事業的影響(補償、インシデント対応)
・社会的信用の失墜(ブランドイメージ失墜)
・本人への影響(本人が受ける損害・被害の大きさ)
*2 脅威発生の可能性は、次の式で算出する。
脅威の有無・程度 X 脆弱性の有無・程度
|
|
■ リスク「R」はゼロにはならない
上記の方法等で把握したリスクの大きさが「R」です。
このリスクを適切なレベルまで下げる方策を考えることが、リスク対策つまり管理策・統制「C」「eC」です。しかし、どのように統制を働かせたとしても、その業務を廃止しない限りリスクがゼロになることはありません。
実際、リスク対策「C」を策定、適用しても、ある時点から先は経済合理性が見いだせないポイントがあります。一般的には、このポイント近くが受容レベルです。つまり最善を尽くして、なおそれ以上は経済合理性も含めて受容することとし、そのレベルを適切な安全管理(適正管理)レベルとするわけです。
その結果を受容したリスク「r」とし、これを「残留リスク」または「残存リスク」とします。
■ 残存リスク「r」の管理が重要
この残存リスクは、「管理」することが非常に重要です。すなわち、運用監視チェックリストに記載し、部門の日常点検等で顕在化していないかどうか適切な間隔でモニタリングしなければなりません。
このモニタリングを確実に実施することで残存リスクとして管理することができると理解してください。
|
