今回は、リスク管理の中でもリスクへの対応と対策についてお話したいと思います。

先日「リスクの認識」という題目をブログに掲載しました。これは個人情報を取扱う中でのどんなリスクがあるかを考えることでしが、その次の段階としてそのリスクが実現しないためにどのように対応するかを考え、対策を検討することが必要になってきます。

リスクへの対応、、、と言っても聞き慣れない言葉でもあるのでなかなかピンとこないかと思います。

少し噛み砕いて言うと、個人情報を取扱う上でのリスク(心配事)を解消するためにどのようなことをすべきか。ということになります。

そのリスクの対応の基本的な考え方には「許容」「移転」「回避」「軽減」の4つの考え方があります。

それぞれ説明しますと、

「許容」とはそのリスクをそのまま受け入れてしまうことです。例えば大量の郵便物を送付した際に郵便事故に遭う可能性。などが1つ考えられます。ただ、全てのリスクを「許容」としてしまうと何もプライバシーマーク取得に必要な取り組みをしていないと捉えられてしまうのであまり「許容」という考え方を多様してはダメです。

次に「移転」ですが、これはリスクを社内では持たず社外に移してしまいます。個人情報の取扱いや保管を他社に委託することなんかが例になってきます。

3目の「回避」ですが、これはその個人情報のリスクが実現しないようその取扱い自体を止めてしまうことです。
個人情報を取扱うリスクの実現度合いが高く、リスクが実現した場合に発生する損害が大きい場合はこの手段を用いることもあるでしょうが、あまり一般的ではないと考えられます。

最後に「軽減」ですが、これは想定しているリスクが実現する確立を下げよう。という考え方です。
例えば鍵の掛からない書庫に直している個人情報を鍵のかかる書庫に直す。これで鍵を所持している人しかその個人情報を触ることができませんので、盗難のリスクや部外者が触るリスクが下がるわけです。
実際プライバシーマーク取得におけるリスク分析の中ではこの「軽減」が一番実践されています。

「軽減」が一番実践されている理由としては、身近な手法でリスクへの対策が出てくるからだと考えられます。
後はリスクへの対策の中で発生する金銭面での負担が少ないことが多いから。ということも考えられます。

リスクへの対策となると様々有りすぎてどういったことを入れればよいか分からなくなりがちですが、これら4つの考え方を念頭においた上で4つのうちどれを採用し、そのためにどうすべきかを具体的に検討する。この道筋でリスク分析を進めて貰えれば、少しは難解なリスク分析が楽になるかとしれません。