リスク分析のレベルは?
リスク分析やその管理策はどのレベルまで行えば良いのですかと時々尋ねられます。
基本的な考え方は、個人情報を有する本人が漏えい、滅失、き損などの事故・事件が起きた場合の影響をできるだけ少なくできるようにすることです。
特に、企業からの視点ではなく、情報を有する本人の視点から考えることが重要です。たとえ事故事件が発生してもその影響をできるだけ少なくするようにすることです。
全てのリスクを取り除くことは困難ですので、発生した場合の影響が大きいと思われるリスクから重点的に行う事が必要です。
また、実際身近に起こりそうなリスクを発生させないようにすることも大切です。
たとえば電子メールやFAXなどの誤送信を発生させないようにすることです。このことは結構発生しやすいことですので、原則2人で確認し合うとか、送信後に相手先に確認するなどが必要でしょう。
最近は、従業者や委託先からの漏えいによる事故・事故が多くなっています。誓約書や委託契約書などの書面による対策も必要でしょう。
ですから、各企業が重要と思われるリスクを中心に、実行可能な管理策を立てることが大切です。
