|
2007/10/09 火曜日 06:48:32 JST |
「個人情報保護マネジメントシステム」の構築に向けて(第8回)
~内部規定の作成(第5回)(リスク分析:その3)~
リスク分析の手法について
ここで、もう少し深くリスク分析について考えてみる。
リスク分析の方法としては、色々な考え方に基づいた手法が発表されているが、基本的なアプローチとして、ここでは簡単に「ベースラインアプローチ(簡易リスク分析)」と「詳細リスク分析」並びにそれを複合化した「複合アプローチ」に大別して概要を示す。
① ベースラインアプローチ
ISMS(ISO-27001)には、管理策として133の管理策が例示されており、特定した安全管理上の要求事項を満たすようにその中から適用する管理策を選択することになっている。
もちろん、追加の管理策を設けても良いことになっているが、例示された133の管理策を中心に考えてゆくことが多い。
このように、あらかじめ標準化された管理策や脅威の一覧表を用いて、標準化された手法やツールを使ってリスクを評価する方法をベースラインアプローチと呼んでいる。
ベースラインアプローチは多くの企業や組織で利用できることを前提にしているため、大きな部分での漏れは出ないが、自社特有のリスクなどに十分に対応できない可能性が有ると言われている。
② 詳細リスク分析
自社の業態、業務フローに適合した形で、個人情報(情報資産)の洗い出しを行い、その取扱いの各局面での脅威や脆弱性(リスクと呼ぶ)を把握し、リスクの度合い等を算出し、対応策を検討してゆく方法である。
詳細リスク分析は自社のリスクを漏れなく把握することができ、リスクの度合い等も算出できる可能性があるが、実施のためには実際の業務がどのように実施されているかに精通している必要があり、またそのような個人情報(情報資産)の取扱いの各局面において、様々な状況を考えながら起こりうるリスクを想定できる(想像力を働かせる)ことが必要であり、高度なスキルを持った要員や分析期間が必要となる。
リスクを漏れなく想定するためには、世の中で発生している事故事例も併せて検討すると良い。
③ 複合アプローチ
最初に簡単なアセスメントを行い、重要な業務や個人情報(情報資産)の特殊な取扱いに対しては詳細リスク分析を、一般的な業務や重要性の低い個人情報(情報資産)の取扱いにはベースラインアプローチを用いる方法である。
リスク分析の現実的アプローチ
J IS Q 15001では“特定した個人情報について、その取扱いの各局面におけるリスク”を認識して、分析を行なうことを要求しており、「詳細リスク分析」を実施することを要求しているように見える。
また、特定した全ての個人情報の夫々に対して個々にリスク分析を行なうことは、個人情報の取扱い(ライフサイクル)が同一なものや類似のものがあり、個々に行なうことが合理的でない場合も考えられるので、取扱いが同じ個人情報はグループ化(取扱いのパターン化)を行い、その各々のグループ(パターン)に対してリスク分析を行なえば、全てをカバーできることになる。
しかし、例えば、「事務所の施錠管理」等、個人情報のフローを追っただけでは、気が付きにくく(実際には、リスク分析を行なった結果としてではなく、常識的に対応策(安全管理策)を実施している例が多い)、取扱いの各局面から考えた(フロー/ライフサイクルから考えた)リスク分析の論理的な流れに乗りにくいものもある。
また、コンピュータシステムやネットワーク等、リスクに対する研究が盛んに行なわれ、多くの文献が出されている部分に対しては、それをベースラインとしてアプローチする方が、リスクの想定漏れも少なく、きめ細かく対応できることも考えられる。
このような、個人情報の取扱いにおいて共通して適用することが可能と考えられる、例えば、「ビルや事務所の安全管理策」や「コンピュータやコンピュータシステムに係わる安全管理策」等に対しては「ベースラインアプローチ」を採用し、個々の個人情報の取扱いでの特有な事項(例えば、出先のセミナー会場での個人情報の取得のような、また、屋外での移送(持ち歩き)等のような特別な取扱い)に対しては「詳細アプローチ」を採用する等、複合アプローチを採用するのも良い方法である。
要は、個人情報の取扱いのあらゆる局面におけるリスクを漏れなくカバーすることができる方法を採用し、検討のまな板に乗せることが重要である。
次に、リスクを特定する上において、JIS Q15001では「個人情報の漏えい、滅失又は毀損」に加えて、「関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ」をリスクとして認識することを要求していることに注意する必要がある。
特に、「関連する法令、国が定める指針その他の規範に対する違反、社会的な信用の失墜、本人への影響等」は個人情報に特有なリスクである。
盗難等に遭遇するリスクだけでなく、個人情報の保護は個人の権利の保護であることを考えると、本人が被害を被ることや、企業が個人の権利を侵してしまうリスクもあり、その結果クレームを受けたり、個人情報の不正使用で訴えを起されたりすることもリスクとして認識し、それらのリスクも特定して、そのようなリスクが顕在化しないように対応策を検討することが必要である。
リスク分析の実施
次に、想定されたリスクに対し“分析”を行ってゆく訳であるが、ここでは、その想定されたリスクに対する対応策を検討する上において、すなわち、対応策の選定において、その個人情報のその局面におけるリスクの発生頻度、個人情報の種類、事故が発生した場合の被害の大きさ等(ISMSでは脅威のレベル×脆弱性のレベル×資産価値のレベル)をできれば勘案して、費用対効果の考え方も取り入れて行くのがよい。
これは、例えば、個人情報の保管において、住民基本台帳の基本4情報(氏名、生年月日、性別、住所)に該当する項目だけの場合は、机の引き出しに鍵を掛けて保管するが、クレジットカード情報や機微情報を含む場合は、金庫に保管する、等、事務所における盗難というリスクは同じであるが、対応策を変えることが必要な場合には必要な考え方である。
被害の大きさの想定には、例えば、機微情報に該当する身体情報や病歴情報等、個人情報に特有な、本人にとっては他人に決して知られたくない情報もあり、金額には換算できないもので、本人が被る精神的被害は甚大であるものもあることにも注意を要する。(個人情報関連の保険があることはあるが、裁判になった事例の判例をベースにその個人情報の価値を金額換算しているが、本人への真の影響度合い(精神的被害を含む)が勘案されている訳ではない。)
また、被害も、一度だけでなく、個人情報が世の中に拡散し、複数回に渡って被害が発生することがあることも個人情報の事故の特徴である。
個人情報の性格上、脅威のレベル、脆弱性のレベル、資産価値のレベル等を数値化すのは非常に難しく、個人情報のリスク分析にはそぐわない面があるが、上記のような事項に対しては、影響度の大小のレベルを考えながら、実施可能な対応策を決定して行くと良い。
事例をもとにリスク分析を考える
先ほど、個人情報の取扱いが同じものはグループ化(パターン化)してリスク分析を行なえば良いと記述したが、それは全てのケースに当てはまるものでは無く、同じ取扱いのパターンではあっても、例えば、取扱う個人情報の内容によっては(基本4情報と機微情報やクレジットカード情報の違い等)同じ対応策にならないことに留意する必要がある。
上記した、保管(鍵つきロッカーと金庫)の例もあるし、考え方を確認するために、さらに事例として、展示会の会場での“単なるカタログ請求の受付”と、“会員募集における加入申込みの受付”の2つを比べて、リスク分析を考えてみたい。
会員募集における加入申込みの受付においては、月々の会費の支払いのためのクレジットカード情報の記載を求めているとする。
個人情報の流れとしては、「会場での本人による記入(取得)→会場での保管→まとめてその日の分を本社へ移送→本社での処理」、というように同じフローではあるが、それらを同一には考えられない。
当然、クレジットカード情報の入った書類の取扱いは単なるカタログ請求書の扱いと同一で良いとは考えらず、展示会会場における取扱い/保管から始まって、本社への移送も異なったやり方になる筈である。
従って、このようなケースでは個別のリスク分析が必要になる。
また、本社における処理でも、一般の基本4情報のみの扱いは、一般従業員も入室可能な部屋で行なっても良いが、クレジットカード情報の扱いは、一般従業員の入室も制限した、担当者のみしか入室できない部屋で行なう等の違いも出てくる。
ここで、少し戻って、詳細なリスクの想定、分析での考え方の流れを示してみたい。
リスクの想定を「会場での本人による記入(取得)」時のリスクの部分で考えると;
① 個人情報の取得において、通知と同意の取得(詳細は後ほど数回先の記事で説明する)を、申込み用紙と別紙の通知・同意書で行っていた場合、申込みの受付時に通知を行い同意を取得することが漏れてしまうリスクがある。
② 次に、顧客(本人)に書類への記入を行って頂いている間に、他の顧客が記載内容を盗み見るリスクがある。
③ また、貴社の担当者との会話の中に個人情報が含まれており、それを他の顧客が聞いてしまうリスクがある。
④ 記入された書類は、会場の現場に一時保管されるとすると、その紛失や盗難のリスクがある。
⑤ また、保管においても、例えばアタッシュケースに保管することにしていた場合、直ちにアタッシュケースに入れられず、机の隅に仮置きされた状態での、紛失・盗難や、アタッシュケースに入れた後に、アタッシュケースごと盗まれるリスクもある。
状況によっては、その他のリスクも沢山考えられるであろう。
リスクをどの程度まで詳細に、きめ細かく特定するかであるが、リスクの存在を認識し、夫々に対する対応策を考え、業務実施における注意事項(安全管理策)をルールとして規定に定めて、運用において徹底することは、貴社にとって決してマイナスにはならないことを考え、考えられるあらゆるリスクを想定し、対応策を考えてゆくことが必要である。
上記の②を例に、想定されたリスクに対して次に行なうことを説明する。
ここまでやるの?との疑問が湧きそうであるが、銀行での“ATMにおける暗証番号の盗み見”の問題もあり、クレジットカードは氏名、カード番号と有効期限情報があれば、カード本体が無くても使用可能であることを考えると、記入いただく内容によっては決して考え過ぎではない。
②は、現場で、「顧客(本人)に書類への記載を行って頂いている間に、他の顧客が記載内容を盗み見るリスク」、であるが、その対応策としては、理想的には、現場に個室を設けることがあるかもしれない。
しかし、現在は、一つの机で、2人の顧客が並んで腰掛けて記入しているとする。
現場に個室を設置するのは大変に難しい状況であるとしよう。
対応策の考え方としては、横に座った人が覗き込めない、後ろで順番待ちの人が覗き込めない、というようなことを考える必要があるであろう。
横に座った人が覗き込めないようにするためには、“2人が同時に着席するので、机の真ん中に衝立を立て、隣の人が覗き込めないようにする”、という対応策がある。
しかし、衝立を立てたとしても、立ち上がった時には覗き込める、後ろからは覗き込める、等々色々な状況があるかもしれない。
現在は2人同時に受付を行っているが、同時には1人しか受け付けない、また次の人が待機する場所を、その時記入している人の位置から離して覗き込めないようにする、という対応策もあるかもしれない。
色々検討し、採用する対応策を決め、例えば、今回は、「同時には1人しか受け付けない」という対応策で行くことを決めた場合、この手順をルールとして規定に文書化すると共に、まだ完全とはならない、後ろからは覗き込める可能性がある、非常に顧客が混んできた場合に顧客の要望に負けて2人同時に着席して受け付けることが有りえる、等々ことを想定し、それを「残存リスク」として明確化してゆくことが必要である。
再度、手順書のまとめについて
以上、リスク分析の手順を述べてきたが、この3回の記事を参考に、貴社が漏れなくリスクを特定でき、その対応策の検討が漏れなくできるような、貴社の業務の実態に合った“個人情報に関するリスクの認識、分析及び対策の手順に関する規定”を作成し、それを基に、実際のリスク分析を行って頂きたい。
規定としては、リスク分析の実施の手順だけでなく、リスク分析の結果を「リスク分析表」として纏めてゆく手順も必要である。
上記のように、リスク分析は、「想定されるリスク→リスク対応策の決定→対応策の規定への文書化→残存リスクの認識」の流を辿るものであり、それを一覧できる「リスク分析表」とすることが望ましい。
「リスク分析表」は、新しい個人情報の取扱いが発生するたびに、見直し、追加・訂正を行なうことが必要である。
また、世の中で発生した事故の情報を得た場合に、貴社の実施している対応策の良否を検討する、新しい技術が発表された時に貴社での採用を検討する、等々も必要であり、手順書では、そのような時の「リスク分析表」の見直しや、定期的な見直しの手順も規定し、万が一にも事故を発生させないように日常の管理を行ってゆくことが大切である。
(中小企業診断士 中村 隆昭)
|
