今月は、『PMS構築・運用指針(改定版)』(2024年10月1日より適用)の
「J.3.1.2 リスク及び機会に対処する活動(一般)(6.2.1)」、
「J.3.1.3 個人情報保護リスクアセスメント(6.2.1,6.2.2)」、
「J.3.1.4 個人情報保護リスク対応(6.2.1,6.2.3)」についてご説明します。
※J.3.1.2~J.3.1.4は、個人情報保護リスクアセスメントに関する内容のため、まとめてご説明します

プライバシーマーク取得事業者は、特定した個人情報について、
その取扱いの各局面(取得~廃棄に至るまでの一連の流れ)における個人情報保護リスク
(漏洩、滅失、毀損、目的外利用、法令違反、経済的不利益、社会的信用の失墜、本人への影響)を
特定・分析し、必要な対策を講じる手順を確立・維持しなければなりません。

そのため、更新審査においては、各々の個人情報に対して適切なリスクアセスメントが
なされているかを、重点的に確認されます。

業務フローや作業手順を変更した際には、リスクアセスメントの見直しが必要不可欠です。
新たに業務管理システムを導入したり、移転等により作業場所を変更した場合などには、
リスクに変化が生じている可能性が高いため、注意が必要です。

情報通信技術の発展に伴い、個人情報(データ)の移送や保管をサーバからクラウドサービスにて
行う事業者が増えているため、多くの事業者の個人情報保護リスクにも変化が生じています。
また、直近の更新審査においても、クラウドサービスの利用状況及びリスクアセスメントの見直しが
適切に実施されているかどうかを確認されることが増えているため、
改めて自社のリスクアセスメントを見直してみてはいかがでしょうか。