クラウド利用に伴うリスク分析の見直し
プライバシーマーク・Pマーク更新審査においては、前回と比べ、より詳細な部分まで確認される傾向があり、リスク分析の見直しはよく指摘となります。
指摘概要
リスクの認識、分析及び対策(JIS Q 15001 3.3.3)
特定した個人情報のリスク分析を行って「リスク分析管理表」にまとめている。
しかし、顧客リストを社内サーバーからクラウド上に変更したことのリスク分析がなされていない。
リスク分析の “保管・バックアップ”ライフサイクルへ想定されるリスクおよび対策を改訂し、「個人情報管理表」中の保管場所も正しく改訂すること。
是正内容
「リスク分析管理表」にて“保管・バックアップ”にクラウドを記載し、想定されるリスクに対する管理策(対策)を策定し、代表者が承認した。
当社からのコメント&アドバイス
一部のファイル(顧客リスト)を保管場所を変更しただけなので、リスク分析の実施を失念しまったそうです。
このお客様は、過去からクラウドを利用していたことで委託先評価は行っていましたが、もし、新規でクラウドの利用を行った場合、クラウド業者に対する委託先評価を行う必要があります。
更新審査においては、前回と比べ、より詳細な部分まで確認される傾向がありリスク分析はよく指摘となります。やはりリスク分析は、定期的な見直しと、細部までの確認が必要ですね。