台帳にあげられているすべての個人情報を分析します
「リスクなどの認識、分析及び対策」は個人情報に関する「目的外利用防止の手順」及び「リスク対応手順の確立」を要求しています。
ここでいうリスクとは、個人情報の安全管理措置面(漏洩、滅失はまた棄損等)だけでなく、従業者や委託先の法令違反やそのほか「本人」に与える影響について幅広く捉えた視点での認識が求められています。
目的外利用を防止する手順としては、JISQ15001の要求事項である「個人情報の特定」に基づいて策定した個人情報管理台帳を用いて、全従業者にすべての個人情報の利用目的を周知させることが挙げられます。
JISQ15001ではリスクの分析について、取得・入力、移送・送信、利用・加工、保存・バックアップといったライフサイクルごとに洗い出すことが記述されています。このリスク分析を実施するには、「本人の種別(誰の個人情報か)」「保管媒体による区分」「委託・第三者提供等の移送・伝送の有無」「保管期間ごと」「取扱い部門ごと」「保管場所ごと」というカテゴリーごとに実施します。
そして、それぞれのリスクには、どのような管理策が有効的かを検討し、事業者の規模や事業内容に応じて、実行可能な最良の技術を実装します。対策後においてもリスクを完全に回避できない場合、残存リスクについても認識しておく必要があります。
リスク分析については、定期的に実施する必要があります。最低でも年1回程度は見直す体制を構築しましょう。見直しの際は、適用するリスク基準の見直しを行い、極力難易度が高く、発生の確率が低いリスクまで徐々に掘り下げてレベルを継続的に上げるようにします。