(1)リスク現象、それらの原因及び起こり得る結果を特定すること。過去のデータ、理論的分析、情報に基づいた意見、専門家の意見及びステークホルダのニーズを含むことがある。 (2)個人情報保護の視点から見た場合、特定した個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄に至る個人情報の取扱いの各局面において、適正な保護措置を講じない場合に想定されるリスクを洗い出すことをいう。