個人情報の特定とリスク分析 規定 書式

1.目的

本規定はABC株式会社(以下「会社」という)の個人情報保護規定(以下「規定」という)に基づき、会社で保有する個人情報(規定第2条の(1)に定義されたものを指す)を特定しそのリスクを分析する手順について定めたものである。

2.個人情報の特定とリスク分析の手順と承認

個人情報の特定とリスク分析は、個人情報保護管理者または個人情報保護管理者が指名した者が行い、社長が承認する。

3.個人情報の特定の方法

会社で保有する個人情報をピックアップして、次の側面から整理し、特定する。

①種類
個人情報の種類(例:申し込み書、経歴書)

②業務

その個人情報を取り扱う業務(例:受注業務、採用業務)

③個人情報の内容

個人情報(例;氏名、住所)

④入手先

その個人情報の入手先(例:本人直接、代理人)

⑤入手形態

入手する形態や経路(例:手渡し、FAX)

⑥社内の取扱経路

社内でどのように扱われるか

⑦情報の形態

個人情報の保存されている形態(例:原紙、電子ファイル)

⑧件数

その個人情報の現在の保有件数

⑨取扱責任者

個人情報の取扱責任者

⑩保管場所

個人情報の保管場所

⑪保管期間

個人情報の保管期間

⑫個人情報提出先

預託あるいは提供先がある場合

⑬廃棄方法

個人情報の最終廃棄方法

3.個人情報のリスク分析の方法

特定された個人情報について情報のライフサイクルに応じた次の視点からそのリスクについて認識し、明確化し、対策を講じる。

①    個人情報

特定された個人情報

②    リスクの予想発生箇所

個人情報に関するリスクの発生が予想される箇所(1箇所とは限らない)

③想定されるリスク
個人情報に関する想定リスク(例:不正アクセス、紛失、破壊、改ざん、漏洩)

③    発生の可能性
そのリスクが発生する可能性を評価(例:大、中、小)

基準の例

可能性のランク 評価基準
発生の可能性がある
発生の可能性がわずかにある
発生の可能性が殆どない

⑤リスクの重大性
そのリスクが発生する場合の重大性を評価(例:大、中、小)

基準の例

重大性のランク 評価基準
経営に大きな影響を与える
経営に多少の影響を与える
経営には影響を与えない

⑥想定される結果
そのリスクが発生してしまった場合に起こりうる結果を想定する。

⑦対策
リスクの発生を予防するか、発生してしまった場合の損害を最小限に抑えるための管理策を策定する。

4.個人情報一覧表の作成

以上の手順により特定されリスク分析された個人情報について、一覧表にまとめることとする。

5.本手順の維持

会社は本手順を維持する。将来にわたり業務の拡大や変更が発生しそれに伴い新たな個人情報を保有する時は、本手順によりその個人情報を特定し、特定した個人情報のリスクを分析する。

改定履歴

制定 平成  年 月 日

改定 平成  年 月 日

シェアする

  • このエントリーをはてなブックマークに追加

フォローする