| 用語 |
用語の説明 |
| JIS
Q 15001 |
プライバシーマーク(Pマーク)の認証のために使用される規格。現時点(2006/8)では、2006年版が最新。 |
| 個人情報保護マネジメントシステム |
旧規格では「コンプライアンス・プログラム」と呼ばれていた。 JIS規格の定義では「事業者が、自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、点検及び見直しを含むマネジメントシステム」とされている。 |
| 事業者の代表者による見直し |
実際に個人情報保護マネジメントシステムを運用した状況・結果や、個人情報の取り扱いに関する状況をトップが定期的に再評価すること。
どのような項目を評価すべきかについて、規格に要求が示されている。 |
| 個人情報管理責任者 |
「個人情報保護管理者」「Chief Privacy Officer (CPO)」 などの呼称が使われる場合もある。個人情報の収集や取り扱い、安全対策などに関する責任者である。 |
| リスク |
JIS Q 15001では「リスク」についての定義はなく、解説もない。 「リスクを認識」については以下のように解説されている。
「特定した個人情報の取得・入力、移送、送信、利用・加工、保管・バックアップ、消去・廃棄に至る個人情報の取扱いの一連の流れを各局面において、適正な保護措置を講じない場合に想定されるリスクを洗い出すことであり、リスクを”分析”するとは、洗い出したリスクを定性的な評価などによって評価することである」 |
| 脅威 |
起きてはならないこと。起こるととても困ること。
たとえば、情報が盗まれる、紛失するなど。 |
| ぜい弱性 |
起きてはならないこと(脅威)が、起こりやすくなっている部分または状態。
「弱点」と言い換えると理解しやすい。たとえば「情報が盗まれる」という「起きてはならないこと」に対して、事務所が開けっ放し、文書が机の上に出し放し、パソコンはつけっ放しで、知らない人が出入りしていても誰も注意しないという状況は、「弱点がある」あるいは「弱点が多い」などと表現する。 |
| 残存リスク |
弱点についてどのような対策を行っても、発生可能性ゼロにはならない。
対策を行った後、それでも残っているリスクが「残存リスク」である。(ISO27001では残留リスクと呼ぶ) |
| 不適合 |
要求事項を満たしていないことを意味する。要求事項の意味には、顧客要求・社内要求・法規制要求が含まれるため、これを満たしていないことが不適合である。 |
| 是正処置 |
不適合が発生した原因を調査し、再び不適合が発生しないように原因を取り除くことである。したがって、再発防止というほうが分かりやすい。この再発防止を行うにあたっては、「なぜ、起こってしまったのか」真の原因を追求し、効果的な対策を打つことが重要となる。 |
| 予防処置 |
問題が起こる前にあらかじめ先手必勝で対策を打ち、問題の発生を未然に防止することである。 |
