会社が、個人情報の漏えいを防ぐためには、特定した個人情報(第5回コラム参照)について、その取扱いの各局面におけるリスク(個人情報の漏えい、損失又はき損等の危険性)を認識し、分析する手順を確立しておく必要があります(個人情報保護法20条、JIS Q 15001:2006 3.3.3参照)。 例えば、まず、リスクの認識に関しては、特定した個人情報について、その取得から廃棄に至るまでのプロセスのフローチャートを作成し、「誰から」、「どの過程で」、「どのように」個人情報が漏えいする危険性があるのかを表にまとめる等して、リスクを洗い出すことが考えられます。また、リスクの分析に関しては、認識したリスクについて、発生頻度、脅威(リスクを発生させる要因)、脆弱性(脅威に対する防衛策の有無・程度)等の評価基準を設定して、評価を行い、リスクを点数化する等の方法があります。そして、このリスクの分析の結果から、リスクについての対策の要否や内容を検討することになります。