個人情報保護法（平成15年法律第57号）の2005年4月1日施行に向けて、民間事業者は個人情報保護の仕組みを作らなければならない。 　個人情報保護のためには、個人情報を取り扱う業務の現状の流れを見直して、個人情報に対するリスク分析・評価を行い、必要な対策を実施し、新しい業務規定を作成しなければならない。この見直しの手順を図に示す。（TBCソリューションズ主任コンサルタント　植野俊雄）

　このうち（1）－（6）は前回説明したリスクアセスメントである。

　（1）取り扱っているすべての個人情報を洗い出し、（2）個人情報を取り扱う業務の流れ、個人情報を含む帳票やデータの流れを明確にする。

　（3）業務フロー、データフローの上で、個人データの取り扱いの各局面において、個人データに対する脅威を想定し、（4）脆弱性および脅威が現実となった時の影響を評価し、（5）リスクの度合いを評価する。

　（6）評価したリスクの度合いについては、組織が定めるリスク受容水準より高いものについて、リスクを低減させるための対策（管理策）を採用し、その対策の実施・運用の手順を決める。

　以降の手順が今回の追加分である。

　（7）では、「JIS Q 15001」で要求される情報主体（本人）に対する「説明」や「同意」を実施しているか、同意を得た範囲の「利用」や「提供」となっているか、業務委託について同意を得ているか、委託先でのセキュリティ確保の対策を実施しているか、また情報主体の権利に基づく「問い合わせ」などへの対応方法が「JIS Q 15001」の要求に沿っているか──などを見直す。

　（8）では、（7）の見直し結果をもとに、業務上の個人情報の取り扱い方法を「JIS Q 15001」の要求に沿うように改善する。

　（9）では、（6）および（8）で決定した対策と方法・手順を実施する。それとともに、これらを盛り込んだ新しい業務手順書を作成する。

　新しい業務手順は、従業員に対し教育訓練をしてから運用に移す。

　次回は、プライバシーポリシー文書（マニュアル）について解説する。