リスク分析ツール「V FOLIO」 | バルクコンサルティングサービス

PMSリスク分析ツール「V FOLIO for PMS」

個人情報特定とリスク分析の作業負荷を軽減します。

ＰＭＳ構築・運用において重要なステップであり、最も負荷のかかる「個人情報特定とリスク分析」を支援し、作業工数を大幅に削減するＥｘｃｅｌベースのＩＴツールです。個人情報の特定に関しては、個人情報のライフサイクル（取得・入力、利用・加工、移送・送信、提供・委託、保管・バックアップ、消去・廃棄）に基づいた各段階のそれに対するリスクを想定し、その安全管理策を講じなければなりません。このような厳しい要求が、プライバシーマークの構築において、事務局などに大きな負荷を強いてきました。
「V FOLIO for Privacy Mark」は個人情報管理台帳と取扱プロセス表及び、リスク分析を一括処理することが可能となります。
また、自動的に関連付けされる規程類は、弊社が提供するPMS文書テンプレートの項番と連動しています（カスタマイズも可能）

V FOLIO for PMS導入のメリット

	リスクの分析結果を自動出力		プライバシーマーク取得に必須のライフサイクルに沿った取扱プロセス表と対応表の出力
	個人情報管理台帳の事務局による効率的一元管理が可能
	プライバシーマーク取得後の継続運用管理への有効活用

従来手法との相違点

従来の個人情報管理台帳の作成手順

V FOLIO for プライバシーマークでの作成手順

	個人情報の特定
	（お客さま作業）

社内において取扱う個人情報保護情報を全て洗い出し、その取扱い状況を、取得方法・媒体・保管場所などに分けて洗い出す。

	個人情報の特定
	（お客さま作業）

基本管理台帳の基本パターンをコンサルタントよりご提供、実情に合わせ事務局にて修正及び確認作業

	管理台帳とフロー図の作成
	（お客さま作業）

特定された個人情報ごとに取扱いフロー図を作成。フェーズごとのリスクを分析しその対応策を検討し策定。
　※大変手間と時間がかかります。

	管理台帳と取扱いプロセス表の作成およびリスク分析
	（お客さまとコンサルタントの共同作業）

管理台帳情報をV FOLIOにインポート。
取扱いフロー図にかわりライフサイクルの取扱いプロセスに沿ったリスク分析と対応表、更に規程類との関連を自動出力

	管理台帳の確認作業
	（コンサルタント作業）

事務局により作成された管理台帳等をコンサルタントが確認チェックをいれる。

	管理台帳とフロー図の確認・修正
	（お客さま作業）

作成された個人情報管理台帳と取扱いプロセス、想定リスク、安全管理策及び関連規程を確認・修正する作業

V FOLIO for PMSによる期間短縮効果

特定手順	個人情報の特定作業・リスク分析における期間短縮効果
特定手順	従来手法		V FOLIO EX for Privacy Mark
個人情報識別と抽出	会社が保有する個人情報を抽出し、ワークシートに記入	1ヶ月	バルクが保有する個人情報テンプレートから選択	10日
個人情報の取扱フローの作成	個人情報ごとに、ライフサイクルのフローを作成し、管理状況を把握	1ヶ月	ワークシートをV FOLIO に取り込み	0.5日
リスクの認識と対応策の策定	ライフサイクル毎のリスクを検討し、リスクに応じた対応策を策定	1ヶ月	部門毎にリスク分析の結果、対応策をExcelに自動出力	0.5日
残存リスクの認識と対応策の策定	残存リスクを検討し、残存リスクに応じた対応策を策定	1ヶ月	各部門で出力結果を確認して修正	10日
所要期間	従来手法の合計期間	4ヶ月	V FOLIOの合計期間	3週間

V FOLIO for PMSの特長・仕様

V FOLIO for PMSの機能

個人情報の入力は、Microsoft Excel上で作成した専用のワークシートから自動読込をするだけ。追加、上書きの両方に対応。
対応策一覧の表示により、複数の個人情報グループに対して共通の対応策を一括して管理（採用、除外の選定など）できます。
対応する規程の名称、条項番号は、お客様独自の名称、番号を適用できます。
各種出力帳票（個人情報管理大著、リスク分析・対策表、対応策一覧、残存リスク管理表、等）は、プリンタへの印刷及び、Excel出力に対応しています。
データの変更、削除時には、履歴を表示します。

商品構成及び動作環境

商品構成: ・リスク分析ツール
・導入支援
・仕様手引書一式

動作環境

前提ソフトウェア：Microsoft Excel2007以上
※MacOS、Microsoft365(Office365)には非対応です。

ISMSリスク分析ツール「V FOLIO for ISMS」

リスクアセスメントの標準化と効率化を支援します

VFOLIO-EX3(ISO27001)ご照会

リスクアセスメントにおいては、ITツールを活用することにより、通常は担当者が手作業で行なう複雑なリスクアセスメント作業を短期間で終了させることができます。これにより、構築期間全体の短縮と人件費の削減ができるとともに、基準が明確で変更が容易なため、リスクアセスメント結果が標準化できます。

「V FOLIO for ISMS」は、情報資産ごとに資産価値（CIA）と脅威・脆弱性を数値化、あらかじめ設定した需要基準を超えると管理策の適用を促し、リスク対応計画の作成から適用宣言書の出力までフォローします。登録した情報資産とアセスメント結果のデータは、VFOLIO上で簡単にメンテナンスできます。Microsoft Excelベースのツールです。

リスクアセスメントの実際

ISMSにおけるリスクアセスメントは、情報資産の重要性を機密性、完全性、可用性（CIA）毎に数値化し、それに脅威と脆弱性を付け加えて定量化してリスク値とすることで対応策の優先順位をつけたり、対応策の実施によりリスク値を変動させたりして管理することが一般的です。

●脅威
	脅威とは、情報資産に損傷を与える可能性があるものをさし、情報資産の機密性/完全性/可用性を喪失させ、被害をもたらす要因となります、特定された脅威の発生確率を評価することで、特定の情報資産に対して損失が発生する確率を脅威単位で認識できるようになります。脅威は、以下のように分類できます。
		① 人為的脅威：	意図的不正や犯罪
		② 偶発的脅威：	停電や漏電、機器の故障等
		③ 環境的脅威：	自然災害（地震等）や湿気、ほこり、電磁波等

●脆弱性
	脆弱性とは、情報資産に関し脅威から防御されることなく、脅威の手段になったり、脅威の原因となるもので、　脅威の発生を可能とする情報資産の持つ弱さをいいます。（セキュリティホールともいう）。
	脆弱性の例
		・インターネットへの保護されていない接続
		・教育訓練されていない要員
		・論理的や物理的に、適切なアクセス制御ができていないシステム
		・情報やソフトウェアのバックアップコピーの欠如
		・災害の影響を受けやすいレイアウト