業務上のリスク評価
<マイナンバー安心パック>を基に、洗い出した業務上のリスクを分析します
リスク分析に際しては、以下のリスクを考慮しながら慎重に分析を行います。
①機密性リスク |
特定個人情報への不正なアクセス、漏洩、紛失などが発生するリスク |
②完全性リスク |
不正により特定個人情報ファイルが破壊、改竄等され情報の完全性が損なわれるリスク |
③可用性リスク |
情報システムのダウン、情報ファイルの破壊により利用できなくなるリスク |
④法令違反リスク |
特定個人情報の取扱に関する法令、国が定める指針その他の規範に対する違反するリスク |
⑤想定される経済的な不利益 |
①~④のリスクが現実化した場合、当社が被る直接的経済的な不利益、損害 |
⑥社会的な信用の失墜 |
①~④のリスクが現実化した場合、当社が被る社会的な信用の失墜 |
リスク分析例
項目 |
リスク内容 |
特定個人情報名 |
情報ファイル(エクセルデータ) |
ライフサイクル |
取得→利用→移送→保管→廃棄 |
記録媒体 |
PCハードディスクドライブ |
想定されるリスク |
①作業中のPCに近づいてのデータ持出・改竄・削除 |
②作業中の盗み見 |
③標的型攻撃メールによるデータ流出 |
④作業PCの盗難 |
⑤火災・地震等の災害による消失 |
⑥目的外特定個人情報取得 |
⑦利用期限を越えての目的外保管(消去漏れ) |
選択したリスク対策 |
①指紋認証PCログイン対策による不正ログイン防止、緊急パスワード情報の封緘・施錠管理、暗号化 |
②取扱業務を個室で実施 |
③取扱PCをネットワークから接続させない、暗号化 |
④取扱区域の入退室管理、保管区域の入退室管理とPC保管ロッカーの施錠管理、暗号化 |
⑤バックアップデータを本社に保管* |
⑥取得申請と取得報告による確認 |
⑦月次業務会議での利用目的期限報告と消去報告 |
反映した関連規定名 |
①、②、③、④安全管理規定 |
⑤BCP社内規定 |
⑥特定個人情報実務規定 |
⑦特定個人情報実務規定 |
運用結果記録帳票名 |
個人情報等授受記録表 |
残存リスク |
①、②、③、④規定を遵守しない業務が行われること。 |
①、③、④ 暗号化忘れ、パスワード設定忘れ、パスワードの不正解析、 |
⑦虚偽・錯誤報告による未消去 |
|