2012年11月19日

リスク分析、残存リスクはどこまで書くか

プライバシーマークの認証基準であるJIS Q 15001の解説で「残存リスク」について以下の通り説明があります。

「すべてのリスクをゼロにすることは不可能であるから,現状で取り得る対策を講じた上で,未対応部分を残存リスクとして把握し,管理しなければならない。」

また、ガイドライン( http://privacymark.jp/reference/pdf/guideline_V2.0_160104.pdf#page=41 )では、「洗い出された個人情報について、ライフサイクルに応じてリスクを洗い出し、リスク分析を実施し、リスクに応じた対策を講じ、残存リスクを把握する手順が明確であること。」を求めています。

さて、どこまで残存リスクとして把握する必要があるのでしょう?

ガイドラインの40ページにヒントがあります。
http://privacymark.jp/reference/pdf/guideline_V2.0_160104.pdf#page=40
「...現状で取り得る対策を講じた上で、当面必要と考えられる未対応部分を残存リスクとして把握し管理することが必要である(事業者にとって対策不可能なことまで残存リスクとして把握し管理する必要はない)。」

つまり、「当面必要と考えられる未対応部分」が残存リスクとなります。
さらに、もともと会社にとって対策不可能なことは含めなくてよいとしています。

例えば、以下のようなリスクに対する未対応については、もともと会社にとって対策不可能なことなので、残存リスクに含める必要はないでしょう。
・悪意をもった社員による規定違反
・うっかりして紛失する
・それでもミスを犯す
・地震による建物崩壊
・テロリストによる爆破
・未知のセキュリティホールを利用した新手のハッカーによる攻撃
・予期できない障害により故障する

では、どのようなものが残存リスクになりうるのか。

これは各社で考えるべきでしょうがいくらか例を挙げたいと思います。

例1)「有効なアクセスログ取得手段がないので現在はアクセスログの点検は行わない」
最近ですと、本格的なファイルサーバーを社内に導入せず、ネットワークドライブやNAS(ネットワーク接続ストレージ)を利用している会社もあります。

そのような場合、機器にアクセスログ取得の機能が備わっていなかったり、あまり役立つほどの機能でなかったりすることがあります。

そのような場合は、この際「当社ではアクセスログの点検はやらない。その際のリスクは会社でのむ」と判断して、残存リスク欄に上記のように記入することができるでしょう。

例2)「バックアップは本体装置と同じ場所に保管しているため災害の際は同時に使用不可となる可能性がある」

火災などの災害を考えると、バックアップ媒体は本体とは別の場所に保管するのがベストでしょう。

しかし、夜間自動でバックアップするなど、バックアップに人手が介入しない運用の場合、バックアップ媒体を日々別の場所に移動するのは人的コストがかかり過ぎ、その割に確保できる安全性に大きな違いがないというケースが考えられます。

そのような場合は、この際「バックアップ媒体が一緒に燃えたら燃えたでまた紙伝票から打ち直せばいい。だからバックアップ媒体は本体と同じ場所でよい」と判断して、残存リスク欄に上記のように記入することができるでしょう。

他にも、委託先から契約書の締結を断られた、とか、情報システムのアクセス範囲を部署ごとに絞ることができないなど、「当面必要と考えられる未対応部分」というのはいくらかあるかもしれません。

それらを残存リスクとして記述するといいでしょう。

以前、残存リスク欄に空欄があると、「残存リスクがないはずはないでしょう。ヒューマンエラーはどうなんですか?」など言って指摘事項とする審査員もいくらかいましたが、このガイドラインによって残存リスクの範囲が明確になったので、このような指摘をすることはなくなりました。

むしろ、「対策しようがない残存リスクは削除しなさい。そうしないと本当の残存リスクが見えないでしょ」と指摘されるケースが増えています。
※ガイドラインのリンク先を更新しました。2016年7月21日
posted by endo at 11:35| Comment(0) | TrackBack(0) | 日記
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/60147236

この記事へのトラックバック