業務上のリスク評価
<マイナンバー安心パック>を基に、洗い出した業務上のリスクを分析します
リスク分析に際しては、以下のリスクを考慮しながら慎重に分析を行います。
| ①機密性リスク |
特定個人情報への不正なアクセス、漏洩、紛失などが発生するリスク |
| ②完全性リスク |
不正により特定個人情報ファイルが破壊、改竄等され情報の完全性が損なわれるリスク |
| ③可用性リスク |
情報システムのダウン、情報ファイルの破壊により利用できなくなるリスク |
| ④法令違反リスク |
特定個人情報の取扱に関する法令、国が定める指針その他の規範に対する違反するリスク |
| ⑤想定される経済的な不利益 |
①~④のリスクが現実化した場合、当社が被る直接的経済的な不利益、損害 |
| ⑥社会的な信用の失墜 |
①~④のリスクが現実化した場合、当社が被る社会的な信用の失墜 |
リスク分析例
項目 |
リスク内容 |
| 特定個人情報名 |
情報ファイル(エクセルデータ) |
| ライフサイクル |
取得→利用→移送→保管→廃棄 |
| 記録媒体 |
PCハードディスクドライブ |
| 想定されるリスク |
①作業中のPCに近づいてのデータ持出・改竄・削除 |
| ②作業中の盗み見 |
| ③標的型攻撃メールによるデータ流出 |
| ④作業PCの盗難 |
| ⑤火災・地震等の災害による消失 |
| ⑥目的外特定個人情報取得 |
| ⑦利用期限を越えての目的外保管(消去漏れ) |
| 選択したリスク対策 |
①指紋認証PCログイン対策による不正ログイン防止、緊急パスワード情報の封緘・施錠管理、暗号化 |
| ②取扱業務を個室で実施 |
| ③取扱PCをネットワークから接続させない、暗号化 |
| ④取扱区域の入退室管理、保管区域の入退室管理とPC保管ロッカーの施錠管理、暗号化 |
| ⑤バックアップデータを本社に保管* |
| ⑥取得申請と取得報告による確認 |
| ⑦月次業務会議での利用目的期限報告と消去報告 |
| 反映した関連規定名 |
①、②、③、④安全管理規定 |
| ⑤BCP社内規定 |
| ⑥特定個人情報実務規定 |
| ⑦特定個人情報実務規定 |
| 運用結果記録帳票名 |
個人情報等授受記録表 |
| 残存リスク |
①、②、③、④規定を遵守しない業務が行われること。 |
| ①、③、④ 暗号化忘れ、パスワード設定忘れ、パスワードの不正解析、 |
| ⑦虚偽・錯誤報告による未消去 |
|
