機密性とは、個人情報が外部に漏れないように管理するために必要な“情報セキュリティの三原則”の1つです。
ただ機密性を考えた個人情報の管理だけでなく、適切な個人情報の管理にはトータルのリスク分析が必要です。
今回は、トータルのリスク分析とは具体的にどのようなものなのかを解説します。
機密性だけじゃダメ!個人情報におけるトータルのリスク分析とは?
トータルのリスク分析とは、まず企業内で“必ず守らなくてはいけない個人情報”を明確にすることから始まります。
企業はすべての個人情報を完璧に死守しようと考えると、なかなか身動きが取れなくなってしまうためです。
例えば、企業の電話番号であったり、住所であったりという情報も個人情報ですし、従業員の名刺も言ってしまえば個人情報です。
つまりその情報にどれくらいの価値があるのかを考えて、必ず守らなくてはいけない個人情報かどうかを判断しなくてはいけないのです。
機密性だけじゃダメ!個人情報におけるトータルのリスク分析で考慮する3つのポイント
トータルのリスク分析では、必ず守らなくてはいけない個人情報を明確にした後、“ポイントを押さえたリスクの把握・対策”を行います。
その際に考慮する3つのポイントが、冒頭でも少し触れた“情報セキュリティの三原則”です。
機密性だけでなく、“完全性”と“可用性”を考慮して個人情報のトータルのリスク分析を行います。
この際のリスクとは、簡単にいうと“発生すると困ること”を指しています。
例えば完全性におけるリスクは、個人情報が“間違っている”というリスクです。
また可用性におけるリスクは、“使えなくなる”というリスクですね。
もちろん機密性におけるリスクとは、個人情報が“漏洩する”というリスクのことです。
機密性だけを考えて個人情報を管理する企業は、情報が漏洩した際に企業にどのような影響が出るかということばかり考えます。
つまり個人情報が間違っていた際、使えなくなった際の影響を重視していないのです。
その考え方は間違いで、これら情報セキュリティの三原則におけるそれぞれのリスク対策
は、必ずすべて網羅しなくてはいけません。
各リスクが発生する可能性も考えなくてはいけない
トータルのリスク分析では、必ず守らなくてはいけない個人情報の判断、各リスクの把握・対策だけでなく、各リスクが発生する可能性も考えなくてはいけません。
例えば企業のシステムの脆弱性を突かれ、個人情報が漏洩するというリスクは、このご時世どこの企業でも発生する可能性は高いと言えます。
ただ極端な話、企業に隕石が落ちて個人情報が消失するかもしれないというリスクはどうでしょうか?
このような天文学的な発生率のリスクは、発生する可能性はほとんどありませんし、対策のしようがありませんよね。
つまり企業で発生し得るリスクに対して、可能性を考えて対策をし、“これだけの対策をして、リスクが発生したのであればしょうがない”という状況を作るべきだということです。
まとめ
機密性だけを考慮して個人情報の管理をしている企業があれば、ぜひ1度体制の見直しを検討しましょう。
どれだけ機密性を高めることができても、その個人情報が間違っていたり、使えなくなったりしては意味がありません。
企業の個人情報管理における体制を高めるために、第三者認証制度の“JAPHIC(ジャフィック)マーク”の取得を検討することもおすすめします。
