2013年11月13日

リスク分析に関する指摘

リスク分析に関して、時々このような指摘を受ける事業者があります。

-------------------------------------------------------------------
(1)認識しているリスクは“紛失”、“漏えい”、“盗難”等であり、具体的でない。各局面における具体的なリスクを特定すること。
(2)認識しているリスクは“紛失”、“漏えい”、“盗難”等であり、下記のような情報セキュリティ以外のリスクを認識していない。情報セキュリティ以外のリスクを認識し、リスク分析を実施すること。
-------------------------------------------------------------------

(1)は、リスクが具体的でないということです。
例えば、紛失と言っても「カバンを交通機関内で置き忘れる」のか「車上荒らしに合う」のか「飲み屋に忘れる」のか、どうなんだ、ということですね。

(2)は、リスクには情報セキュリティ以外のものもあって、例えば関連する法令、国が定める指針その他の規範に対する違反関係のリスクもあるでしょ、ということです。
「関連する法令、国が定める指針その他の規範に対する違反関係のリスク」に何があるのか、例を挙げてみましょう。
@ 従業者が目的外利用をする。
A 本人から取得する場合、所定事項の明示や同意を得ずに取得する。(直接書面の場合)
B 利用目的を本人に通知、又は公表せずに個人情報を取得する。(直接書面以外の場合)
C 委託元が違法に取得した個人情報を当社が預かって処理することで結果として当社が法令違反に問われる
D 広告メールを送信する旨同意を得ていないのにメルマガを送る(特電法違反)
などが考えられるでしょう。

このような指摘が出るのはリスク分析ツールのようなものを使って、自動的にリスク分析表のような帳票を出力しているケースに多いようです。

すべてのリスク分析ツールを否定するつもりはありません。リスク分析ツールのメリットとデメリットについてはいずれ取り上げたいと思いますが、リスク分析をツールで自動化すると上記のような指摘に対応するために、ツールそのもの、またはそれに食わせるデータを見直差ないといけないので、場合によってはかえってコストがかかることがあります。
posted by endo at 18:00| Comment(0) | TrackBack(0) | 日記
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/80560799

この記事へのトラックバック