2013年11月13日

リスク分析に関する指摘

リスク分析に関して、時々このような指摘を受ける事業者があります。

-------------------------------------------------------------------
(1)認識しているリスクは“紛失”、“漏えい”、“盗難”等であり、具体的でない。各局面における具体的なリスクを特定すること。
(2)認識しているリスクは“紛失”、“漏えい”、“盗難”等であり、下記のような情報セキュリティ以外のリスクを認識していない。情報セキュリティ以外のリスクを認識し、リスク分析を実施すること。
-------------------------------------------------------------------

(1)は、リスクが具体的でないということです。
例えば、紛失と言っても「カバンを交通機関内で置き忘れる」のか「車上荒らしに合う」のか「飲み屋に忘れる」のか、どうなんだ、ということですね。

(2)は、リスクには情報セキュリティ以外のものもあって、例えば関連する法令、国が定める指針その他の規範に対する違反関係のリスクもあるでしょ、ということです。
「関連する法令、国が定める指針その他の規範に対する違反関係のリスク」に何があるのか、例を挙げてみましょう。
@ 従業者が目的外利用をする。
A 本人から取得する場合、所定事項の明示や同意を得ずに取得する。(直接書面の場合)
B 利用目的を本人に通知、又は公表せずに個人情報を取得する。(直接書面以外の場合)
C 委託元が違法に取得した個人情報を当社が預かって処理することで結果として当社が法令違反に問われる
D 広告メールを送信する旨同意を得ていないのにメルマガを送る(特電法違反)
などが考えられるでしょう。

このような指摘が出るのはリスク分析ツールのようなものを使って、自動的にリスク分析表のような帳票を出力しているケースに多いようです。

すべてのリスク分析ツールを否定するつもりはありません。リスク分析ツールのメリットとデメリットについてはいずれ取り上げたいと思いますが、リスク分析をツールで自動化すると上記のような指摘に対応するために、ツールそのもの、またはそれに食わせるデータを見直差ないといけないので、場合によってはかえってコストがかかることがあります。
posted by endo at 18:00| Comment(0) | TrackBack(0) | 日記

2013年11月07日

Pマーク更新のコンサル (2)

(つづき)
お客さん曰く「『Pマークの面倒な作業 全て請け負います』の文句に釣られてしまいました。」とのことでした。

前回の審査結果を見てみると、何と、更新であるにもかかわらず、すべての規程が入れ替えさせられていました。

もちろん、お客さんの希望で、現行規程類を全面的に見直したいということはあるでしょう。

しかし、これまで問題なく運用していたのに、コンサル都合で規程類を入れ替えるとはどういうことでしょう。

そのコンサルタントは、自分の会社が用意した規程でないとコンサル出来ないんでしょうか。
お客さんが現在運用している規程を読み解くことが出来ないんでしょうか。

通常、プライバシーマークの更新サポートでは、以下の点がポイントだと思っています。
1) お客さんの工数をできるだけ少なくする
2) 最近の指摘事項の動向を元に上記1)を踏まえながら、規程、記録類の見直しを行う(法令等の一覧も最新にしてあげる)
3) 現地審査後の指摘事項対応を素早く最小工数で実施する
4) お客さんの個別の要望があればそれを再優先に考える

なので、有無をいわさず規程を入れ替えさせるなんて信じられませんでした。

しかも、現地審査の際に審査員に「前のがよかったですね」と言われて、前のフォーマットに戻さざるを得なかったり。

しかもしかも、それはお客さんがやってコンサルタントはほとんど助言もしなかったというじゃありませんか。

たまたま、このコンサルタントが、たまたまこのお客さんに限って、このような質のサービスになってしまっただけなのかもしれません。

そのコンサルタントも、それなりのお考えがあってのことなのだろうと信じます。

ただ、この前の記事でも書きましたが、自分の会社にあったコンサルタントを選ぶというのは難しいなと思いました。
posted by endo at 17:44| Comment(0) | TrackBack(0) | 日記