リスクの対応手順を確立する
ここでは特定した個人情報に関するリスク対応手順の確立が要求されており、以下の要件を規定しています。
・特定した個人情報について,目的外利用を行わないため,必要な対策を講じる手順を確立し,かつ,維持しなければならない。
・特定した個人情報について,その取扱いの各局面におけるリスクを認識,分析,必要な対策を講じる手順を確立し,かつ,維持しなければならない。
目的外の利用を防止する手順
目的外の利用を防止する手順として、全ての個人情報の利用目的(~のみ利用など)を周知し、利用目的の定められていない個人情報は利用してはいけない旨の手順を策定・周知する必要があります。これらを守ることにより、目的外の利用を防ぐことができます。
リスクへの対応
<Step①>
個人情報が自社に入ってから出ていくまで(個人情報のライフサイクル)を明らかにし、個人情報の「取得・入力」「移送・送信」「利用・加工」「保管・バックアップ」「消去・廃棄」ごとに想定されるリスクを明確にする
<Step2>
洗い出したリスクを分析・評価する
<Step3>
それぞれのリスクにあった管理策を検討し、事業者の規模や事業内容に応じた内容で実行可能な対策を講じること。また、現状で可能な限りの対策を講じた上で、未対応となってしまう部分については「残存リスク」「残留リスク」として把握して管理することが重要です。
個人情報保護マネジメントシステム要求事項(JIS Q 15001)より一部引用