JIS Q 15001:1999 の 4.3.1 項には「個人情報に関するリスクを認識し...」とあり、 4.4.4.2 項には「個人情報のリスクに応じた合理的な対策..」とあるので、 まず、特定した個々の個人情報のリスクを認識しなければいけません。 リスク対策を検討 するプロセスでは、

• 収集目的(利用目的)毎
• 事業・サービス(利用範囲)毎
• ウェブなど“業態”毎

などなど、いろいろ適切な単位で合理的に行っても構いませんが、 最後に全体的にまとめる必要があるでしょう。 まず、リスク対策の検討 においては、JIS Q 15001 の要求事項に沿って、 収集→破棄などの 個人情報 の “ライフサイクル”を通じて行わなければなりません。 ISMS 的に リスクを検討するとしても、

• 収集(取得) → 保管・利用 → 委託／返却／提供
  ※委託は戻ってくるのが原則であり、提供はデータのコピーになる。
• 情報主体(本人)からの要求 → 開示・訂正・削除

など、業務フローに沿ったアプローチ の方がイメージがしやすいだろうと思われます。 それは、普段行っている業務に沿って現状把握をし(特に現場の人たちは)、 リスクをリストアップしていけるからです。

　個人情報の“ライフサイクル”によっては、 委託 や 提供 など社外に渡る場合もありますし、 倉庫やデータセンターなど ロケーションが異なる場合 や、 委託先とのやりとりや支店間の 輸送 において 外部に依頼する場合 もあるかもしれません。 最近、委託先や社内の輸送中の事故のニュースが多いですが、 社外(敷地外)でのことであっても、 委託先管理 など、きちんと管理しなければならないでしょう。 併せて境界線と責任分界点も明確にする必要があるかと思います。 また、見落としがちな点として、

• パスワードや セッションキー など代理認証に関するウェブ特有の問題
• 削除や破棄の方法と手順
• 採用情報／社員情報

など 個人情報保護 特有のものがありますので注意が必要です。 特に、ウェブを使って個人情報のやりとりをする場合には、 かなりセキュリティ動向のサイクルが短いので、 セキュリティに関する 情報収集 を絶えず行って、対処することが必要になってくるでしょう。

　最後に、バックアップやログや管理カメラの画像データなど、 安全対策自体が新たな 個人情報 を生み出したりすることもあるので注意する必要があるでしょう。

---

補：JIS X 5080 の活用

　最初に適用範囲(対象)を決める ISMS とはアプローチが異なるのかもしれませんが、 ISMS で参考資料として使われている ISO 17799:2000(JIS X 5080:2002) の以下の大項目は有益であると思われます。

7. 物理的及び環境的セキュリティ
8. 通信及び運用管理
9. アクセス制御
10. システムの開発及び保守

　この部分に関しては、JIS X 5080 以外にも、ISO/IEC TR 13335(GMITS)、 や安対基準などの 旧通産省の基準、 旧郵政省の基準 などの実施基準も有用です。 あと、JIS Q 15001:1999 と重複するかもしれませんが、 上記の JIS X 5080 の項目(7.〜10.)以外にも、

4. 組織のセキュリティ
6. 人的セキュリティ

も参考にしておいた方がいいでしょうし、 JIS Q 15001:1999 にない項目ですが、

11. 事業継続管理
12. 適合性

も当然忘れてはいけないでしょう。

　最後にまとめとして、対象が「個人情報」に限定されており、 ISMS でいうところの「分類とラベル付け」が明確なので、 ISMS に比べリスク対策は楽かと思われます(たぶん)。 リスク算定の手法や数式にあまりこだわらず、 “網羅性”さえ確かであれば、 ある程度アナログ的に求めてもよいかと思われます。

　なお、JIS X 5080:2002 と TR X 0036(ISO/IEC TR 13335) は 日本工業標準調査会 のウェブページで閲覧が可能です。