プライバシーマークのバージョンアップの注意点

こんにちは。アンソニーです。

JISQ15001は2006年版になって、いろいろ変わったけれど、リスクアセスメントについては結構注意が必要みたいですね。
JISQ15001:2006の「3.3.3 リスクなどの認識、分析及び対策」のところで「・・その取扱いの各局面におけるリスクを認識し、分析し・・・」となっているところに改定後の思いがこもっているようです。
前から徐々にリスクアセスメントが厳しくなってきていましたが、これまではISO27001でよくやる「詳細リスク分析」の手法の簡易版で問題なかったと思います。
ところが、今回のJISQ15001の改訂ではっきり「取得・利用・委託・提供・廃棄」それぞれの局面別にリスクを記載する必要が出てきたようです。(審査で執拗に指摘されました。)

個人情報資産を適度にグループ化し、取得から廃棄までの情報の流れ(ライフサイクル)を簡単に記載しながら、その横に、それぞれのフェーズ毎のリスクを記載するやりかたで審査はうまく行くようです。

よろしく。

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント


この記事へのトラックバック

SOX法: プライバシーマーク制度とは
Excerpt: プライバシーマーク制度とは、JIS Q 15001に適合して 電子計算機処理に関...
Weblog: SOX法とは?
Tracked: 2006-11-28 09:39