今回もPマーク上におけるリスク管理についてお話したいと思います。
前回まではリスクの認識とリスクへの対応・対策についてお話をしました。
今回はその最後としてリスク管理を行った際の「残存リスク」の管理についてになります。
また、難しい日本語で「残存リスク」って何?となるかと思います。
表現を少し噛み砕くと個人情報の漏えいを防ぐための対策を行っても対処しきれないもしくはどうしても残ってしまうリスク(心配事)です。
例えば、ウィルス対策ソフトを導入して自動でアップデートがかかるようにしていてもそのウィルス対策ソフトが対応し切れていない未知のウィルスにPCが感染してしまう。なんかが例としてあげれます。
例以外にも、対策を取っても残るリスクの理由は様々あるかと思います。
人がいないから、対処しきれない。
建物・フロアの構造上対応が出来ない。
予算がないからこれ以上対応が出来ない。
本当にどうしようもない。
出来ないことが残ってしまうのは仕方ないことですし、リスクを0(ゼロ)の状態にしないと、プライバシーマークが取れない。ということは全くありません。
ただ、対策を行っても残るリスクについて何も考えず、「そんなもの知りません」、「今後も全く気にかけるつもりはありません」という対応をとってしまうとプライバシーマークにおけるリスクの管理が全く出来ていないということになります。
もちろん残存リスクについてもリスクの認識と同じでどこまでを残存リスクとして考えるかはバランスが必要にになりますので、現在自社で取得に向けた取り組みをされている企業様でなかなかリスクの管理が出来ない。本当に行っていることが正しいのか心配だ。という方がいらっしゃれば一度ご相談いただければと思います。