JNS株式会社

コンサルティングサービス
プライバシーマーク(Pマーク)認定取得/更新、セキュリティマニュアル作成、セキュリティ監査、その他情報セキュリティ対策に関連する運用を支援します

対応法令/基準

  • (1) 個人情報保護法、個人情報保護法ガイドライン
  • (2) 番号法(マイナンバー法)
  • (3) Pマーク取得のための要求事項(JIS Q 15001)
  • (4) 情報セキュリティ要求事項(JIS Q 27001)
  • (5) 国際標準(ISO/IEC TR 13335-3)に従ったリスクアセスメント

実績

(1) Pマーク取得/更新支援 Pマーク取得/更新支援、改正JIS規格対応支援、データ管理強化支援等
(2) 情報セキュリティマニュアル作成 セキュリティポリシー、セキュリティマニュアル等
(3) 地方公共団体監査 GPKI(政府認証基盤)監査等
(4) その他 政党、地方公共団体、管区警察局、公社、金融機関等セミナー

Pマーク取得/更新支援コンサルティング

Pマーク認定取得/更新に向けた自立運用を支援します。

PDCA管理に従って個人情報/データの取扱い、個人情報/データの適正管理の在り方を構築または見直し、健全な個人情報保護マネジメントシステムの運営を支援します。


Pマーク要求事項への対応

JISQ 15001:2017の本文は、国際標準に準拠しています。
Pマークの審査基準(JIS Q 15001 附属書A)と共に、本文の要求事項を満たすコンサルティングを行います。
また、提供する運用文書は全てJIS規格原案作成委員が監修した文書です。


現状把握

個人情報保護マネジメントシステムの適用範囲の決定


PLAN 体制整備、管理策の立案


個人情報保護方針の作成
組織の整備
文書の整備・管理

個人情報保護リスクアセスメント
リスク受容基準、個人情報保護リスクアセスメント実施基準の確立


DO 管理策の実施


認識(教育)
緊急事態対応

個人情報保護リスクアセスメント
リスクアセスメントの実施
個人情報保護リスクの特定


CHECK 管理策の運用状況の点検


パフォーマンス評価
運用確認、内部監査、マネジメントレビュー
による個人情報保護リスクの特定


ACT 管理策の見直し


個人情報保護リスク対応(改善・是正)
リスク対応時には、計画を立案し、必要な管理策を特定し対応

管理策


JIS Q 15001 附属書Aの管理策
(個人情報の取扱いに関する要求事項)
 個人情報/データの利用目的の特定
 個人情報/データの取得・利用・提供ルールの遵守
 個人情報か関する本人の権利への対応
 苦情・相談対応


JIS Q 15001 附属書Cの管理策
(個人情報/データの適正管理に関する要求事項)
 正確性の確保
 安全管理措置の遵守
 従業者の監督
 委託先の監督


追加の管理策

リスクマネジメント

リスクマネジメントとは


リスクマネジメントとは、リスクを組織的に管理し損失を回避/低減するプロセスを指し、この作業はリスクアセスメント、リスク対応で構成されます。
また、リスクアセスメント作業はリスクの特定、リスク分析、リスク評価の各プロセスで構成されます。


リスクマネジメント リスクアセスメント リスクの特定
リスク分析
リスク評価
リスク対応 リスク対応の前にリスクアセスメントプロセスを踏んで、対応策の妥当性を評価

当社ではこれらの作業プロセスを的確に運用するために、国際標準(ISO/IEC TR 13335-3)の手順に従ってリスクアセスメントのコンサルティングを行います。


リスクの特定

リスクの特定に必要なリスク管理項目の漏れを最小化するために、JIS Q 15001、個人情報保護法ガイドライン、IPAセキュリティガイドライン等を参考に約500項目のリスク特定のための評価項目を用意しています。


リスクアセスメントとリスク対応

また、作業の一貫性を維持するためにリスク修正対応、運用確認/監査の是正、有事対応等を行うときには最初に実施したリスクアセスメントと同一手法でアセスメントを行い、リスクを評価してからリスク対応の選択肢を決定します。


リスクアセスメント

リスクアセスメント
リスク
分析
リスク
評価

リスク対応

リスク対応修正
緊急事態
パフォーマンス評価
課題

指摘
事項

対策
立案

リスク
分析

妥当性
評価

リスク
対応

リスク対応を行うときにも同じ手法でアセスメントします。

┌────────────┐
↓            │

リスクアセスメントにより立案した対策の妥当性を評価して、リスク対応計画を作成し、承認を得て対応します。

リスク分析

各リスク評価項目に対して以下の手法を用いてリスク分析を行います。
この手順はリスクアセスメントによる是正対応、運用確認/監査の是正対応、有事発生時の対応を行うときにも利用し、リスク対応の一貫性・妥当性に寄与します。

各リスク評価項目に対して以下の手法を用いてリスク分析を行い、リスクを評価します。


上位レベルのリスク分析

資産価値の算定

個人情報管理台帳に記載した個人データファイル毎に一次的概算資産価値を特定して概算資産価値を評価します。

×



└─────※ 判例参照

一時的概算資産価値

概算資産価値単価

保有件数

事業への影響度評価

個人情報管理台帳に記載した個人データファイル毎に一次的概算資産価値を特定して概算資産価値を評価します。


個別リスク分析

選択した防御水準/運用環境をもとにリスク評価項目を特定し、実施状況や事前に設定した評価情報をもとに、以下の計算結果からリスクレベルを算定します。


×
×



├─


└─



├─


└─

リスクレベル
影響度レベル
脅威レベル
脆弱性レベル
原因別発生可能性
環境別発生可能性
防御水準
実施状況

リスク評価

事前に設定したリスク評価基準に従って、リスクレベルの算定結果から各リスク管理項目のリスクを評価します。


リスク対応の選択肢

リスク評価結果をもとに、リスク対応の選択肢(許容、低減、転嫁、消滅等)を決定します。


立案した対策の妥当性検証

リスク対応策の立案、対応策の妥当性評価結果をもとにリスク対応計画を策定し、承認を受けてリスクに対応します。


お問合わせはこちら