「毎年リスクアセスメントを実施しているが、テンプレートを埋めているだけで実効性を感じない」「情報資産の棚卸が翌年には陳腐化していて、また最初からやり直しになる」「リスク対応方針の判断基準が曖昧で、結局全部『低減』と書いて終わっている」。個人情報リスクアセスメントの相談を受けるとき、この 3 つは典型的なパターンです。本記事は、AI 駆動開発のクリエイティブスタジオとしてリスクアセスメントを回してきた観点から、「テンプレートを埋めるだけのアセスメント」から「経営判断につなげるアセスメント」に変える実務を整理しました。
結論: リスクアセスメントは「経営判断のインプット」として設計する
先に結論を書きます。個人情報リスクアセスメントを「認証審査に提出するテンプレート」として位置付けると、テンプレートを埋める作業になり、実効性のあるリスク低減につながりません。多くの企業で「全部『低減』と書いて終わっている」現象が起きているのは、経営判断で使えるアウトプットになっていないためです。リスクアセスメントの目的は「認証審査に通すこと」ではなく「情報セキュリティ投資の優先順位を経営層が判断するためのインプットを整える」ことです。
注意
リスクアセスメントをテンプレート作業として運用すると、リスクの粒度が経営判断に使えないレベルになり、対応方針も「全部低減」で終わりがちです。経営判断のインプットとして設計することで、情報セキュリティ投資の優先順位付けと予算化につながります。
本記事では、まず個人情報リスクアセスメントの基本要求事項を整理し、そのうえで情報資産棚卸・リスクの特定と分析・評価基準の作り方・対応方針判断・年次サイクル、を掘り下げます。P マーク全体像は P マーク取得ガイド を、ISMS 全体像は ISMS 取得ガイド を参照してください。
リスクアセスメントの基本と要求事項
JIS Q 15001 (P マーク) と ISO 27001 (ISMS) のリスクアセスメントに関する要求事項は次の 4 点に集約されます。
- 個人情報を含む情報資産を特定し、棚卸する
- 各資産に関連するリスク (脅威・脆弱性) を特定する
- リスクの発生可能性と影響度を評価する
- リスクに対する対応方針を決定し、記録する
具体的な評価基準・粒度・実施頻度は組織側で定める運用になっており、規格自体は柔軟です。実務で定着している型は次のとおりです。
- 頻度: 年 1 回の全体アセスメント + 四半期の差分確認
- 粒度: 情報資産 (システム / 業務プロセス / 委託先) × リスクシナリオの単位で管理
- 評価基準: 影響度 3〜5 段階、発生可能性 3〜5 段階の組み合わせ (5x5 = 25 マトリクス)
- 対応方針: 4 分類 (回避 / 低減 / 移転 / 受容) から選択
- 記録: リスク台帳・評価基準・対応方針決定の記録を保管
情報資産の棚卸
リスクアセスメントの起点は情報資産の棚卸です。棚卸の粒度が粗いと、リスクの特定も粗くなり、対応方針も曖昧になります。実務での棚卸の視点は次の 3 つです。
視点 1: システム軸で棚卸する
自社が使用するシステム (SaaS / 自社開発システム / 業務用ソフト) を棚卸し、それぞれで扱っている個人情報の種類・件数・保管期間を記録します。SaaS の場合、システム名だけでなくベンダー名・データ保管国・契約形態も記録します。
視点 2: 業務プロセス軸で棚卸する
個人情報を扱う業務プロセス (顧客管理・採用・従業員管理・委託先管理など) を棚卸し、それぞれで扱う個人情報の種類・件数・関係者を記録します。システム軸だけでは見えにくい「紙・メール・チャットでの個人情報の流れ」を把握できます。
視点 3: 委託先軸で棚卸する
個人情報を委託している委託先 (SaaS ベンダー・システム開発会社・BPO・広告代理店・会計事務所など) を棚卸し、委託内容・扱う個人情報の種類・契約状況を記録します。委託先管理の観点はリスクアセスメントの重要な入口です。
棚卸の陳腐化を防ぐ運用
年 1 回の棚卸だけでは翌年には陳腐化します。次の運用を組み込みます。
- SaaS 導入・システム改修・組織変更の各時点で資産台帳を更新するチェック項目を組み込む
- 四半期の差分確認会議を情報セキュリティ委員会で開催する
- SaaS 管理台帳・アクセス権管理台帳・委託先管理台帳と資産台帳を連動させる
リスクの特定と分析
情報資産ごとに、想定されるリスクシナリオを特定します。リスクシナリオは「脅威 × 脆弱性」の組み合わせで表現します。
- 脅威: 外部からの攻撃 (不正アクセス・マルウェア)、内部の不正行為、人為的ミス (誤送信・誤廃棄)、システム障害、災害
- 脆弱性: アクセス制御の不備、パスワード管理の甘さ、教育不足、監視の不足、バックアップ不備
例として「顧客管理システム」の資産に対しては、次のようなリスクシナリオを列挙します。
- 退職者のアカウント削除漏れによる不正アクセスと個人情報漏えい (脅威: 内部不正 / 脆弱性: アクセス管理不備)
- 誤送信による個人情報漏えい (脅威: 人為的ミス / 脆弱性: 誤送信防止機能なし)
- 外部からの不正アクセスによる個人情報漏えい (脅威: 外部攻撃 / 脆弱性: 認証の甘さ)
- SaaS ベンダーのセキュリティインシデントによる個人情報漏えい (脅威: 委託先起因 / 脆弱性: 委託先管理の甘さ)
FIXIT情報資産 1 件あたり 3〜10 個が実務での目安です。全部並べても管理しきれないので、影響度の大きいシナリオに絞ります。
Tsukasa書き出しの段階では網羅性を優先し、評価の段階で優先順位を絞る 2 段階の進め方が実効的です。
FIXIT
Tsukasaそうです。書き出しはブレストで、評価と対応方針決定は経営層を巻き込んで判断する、という順で進めます。
評価基準の作り方
リスクの評価は「影響度」と「発生可能性」の 2 軸で行います。それぞれ 3〜5 段階の評価基準を組織固有に定義します。
影響度の評価基準の例 (5 段階)
- 5 (壊滅的): 顧客数 10 万件以上の漏えい、または損害額 1 億円以上、または事業継続への重大影響
- 4 (重大): 顧客数 1 万〜10 万件の漏えい、または損害額 1,000 万〜1 億円
- 3 (中程度): 顧客数 1,000〜1 万件の漏えい、または損害額 100 万〜1,000 万円
- 2 (小): 顧客数 100〜1,000 件の漏えい、または損害額 10〜100 万円
- 1 (軽微): 顧客数 100 件未満の漏えい、または損害額 10 万円未満
発生可能性の評価基準の例 (5 段階)
- 5 (ほぼ確実): 過去 1 年以内に発生、または月次で発生の可能性
- 4 (可能性大): 過去 3 年以内に発生、または半年に 1 回発生の可能性
- 3 (可能性中): 過去 5 年以内に発生、または年 1 回発生の可能性
- 2 (可能性小): 業界他社で発生事例あり、または 5 年に 1 回発生の可能性
- 1 (可能性低): 業界でも発生事例が稀
影響度と発生可能性を掛け合わせたスコアで、リスクの優先順位を決めます。実務では「スコア 15 以上は経営判断が必要」「スコア 8〜14 は管理策の見直しを検討」「スコア 7 以下は現状維持を検討」といった閾値を設定します。
リスク対応方針の判断
評価で優先順位付けしたリスクに対して、対応方針を 4 分類から選択します。
回避
そのリスクを発生させる業務プロセスを止める・変更する対応。個人情報を紙で管理していたのを止めてシステム化する、リスクの高い委託先との取引を停止する、といった対応です。抜本的にリスクを消せますが、業務変更の負荷が発生します。
低減
リスクの発生可能性や影響度を下げる管理策を導入する対応。アクセス制御の強化、暗号化、監視ログの導入、教育の実施、といった対応です。実務では 4 分類のうち最も多く選択される対応方針です。
移転
保険加入や委託契約でリスクを外部に移す対応。サイバー保険加入、クラウドサービス活用による責任分担、といった対応です。
受容
リスクを認識したうえで対応しない判断をする対応。対応コストがリスクを上回る場合や、リスクが十分に低い場合に選択します。経営判断で明示的に「受容する」と決めた記録を残すのが必須です。判断していないのに未対応のまま放置しているのは「受容」ではなく「未評価」で、監査で指摘されます。
年次サイクルへの組み込み
リスクアセスメントは年 1 回の全体見直し + 四半期の差分確認のサイクルで運用します。
- 年 1 回 (期初 or 期末): 情報資産棚卸の全体更新、リスク特定と評価の全社見直し、対応方針の経営承認
- 四半期: 情報資産の変更差分確認、新規リスクの追加、対応進捗のレビュー
- 月次: リスク対応 (低減策の実施) の進捗確認
年 1 回の全体アセスメントの結果は経営層への報告資料として整理し、翌年度の情報セキュリティ投資計画のインプットにします。この流れで運用すると、リスクアセスメントが「経営判断のインプット」として実効性を持ちます。
失敗を避けるチェックリスト
個人情報リスクアセスメントで事前に確認しておくべき論点を整理します。
- 情報資産棚卸を「システム軸 / 業務プロセス軸 / 委託先軸」の 3 視点で実施しているか
- 情報資産棚卸の陳腐化を防ぐ変更差分追跡の運用を組み込んでいるか
- リスクシナリオを「脅威 × 脆弱性」の組み合わせで具体的に書いているか
- 評価基準 (影響度・発生可能性) を組織固有の指標で定義しているか
- 対応方針を 4 分類 (回避 / 低減 / 移転 / 受容) から明示的に選択しているか
- 「受容」判断の記録を経営層承認の記録として残しているか
- 年 1 回の全体見直し + 四半期の差分確認のサイクルで運用しているか
- 全体アセスメントの結果を経営層への報告資料と翌年度予算のインプットに使っているか
これらを満たしたうえで、個人情報リスクアセスメントは「テンプレートを埋める作業」ではなく、情報セキュリティ投資の優先順位を経営層が判断するツールとして機能します。
リスクアセスメントのご相談
「リスクアセスメントを毎年やっているが、テンプレート作業で終わっており実効性がない」「情報資産棚卸が陳腐化していて活用できていない」「リスク対応方針の判断基準を組織固有に作り直したい」といった状況こそ、AI 駆動開発のクリエイティブスタジオが伴走できる領域です。まずは P マーク取得サポート と ISMS 取得サポート、情報セキュリティコンサル のサービス内容をご覧いただき、お問い合わせ からお気軽にご相談ください。
