１．Pマークはリモートワークでも取得・運用できる？

リモートワークを導入している企業でも、プライバシーマーク（Pマーク）の取得・運用は可能です。

プライバシーマークとは、個人情報マネジメントシステムの認証制度で、企業が個人情報を適切に管理していることを証明するマークです。

そのため、リモートワークでも、個人情報の取り扱いに関するルールを遵守し、適切なセキュリティ対策を講じていれば取得・運用することができます。

具体的には、リモートワークにおける情報漏洩のリスクを評価し、対策を講じることが必要です。

また、その対策が適切に運用されているかどうかを定期的に監査することも求められます。

したがって、リモートワークを導入している企業が、プライバシーマークを取得・運用するためには、リモートワークにおける個人情報保護の方針を明確にし、それを従業員に周知徹底することが重要となります。

２．テレワーク・在宅ワークでのPマークにおける注意点

リモートワークでは個人情報の取り扱いに関するリスクが増加するため、その対策が求められます。

(1)マニュアル・規定・記録類を対応させる

リモートワークを行う際には、漏洩事故を未然に防ぐためにも、以下のようなセキュリティ対策を考慮する必要があります。

①リモートワークで取り扱う個人情報を特定し、その情報がどのように管理されているかを確認する。
②特定した個人情報についてリスク分析を行い、情報漏洩などのリスクを評価する。
③リスク分析の結果に基づき、必要なセキュリティルールを設定し、文書化する。
④ルールの実施に必要な記録形式などを整備し、リモートワークの準備を進める
⑤リモートワーク実施の際に他社サービスを利用する場合は、そのサービスが個人情報の委託先に該当するかを確認し、該当する場合はその監督を行う。
⑥リモートワークを行う従業員に対し、設定したルールを教育し、理解を深めてもらう。
⑦リモートワーク開始後も、定期的にルールが守られているかを監視する。

(2)点検・内部監査のやり方

内部監査を直接できない場合、テレビ会議システムなどを利用して、リモートでも内部監査を行うことができます。

Pマーク（プライバシーマーク）の内部監査で各監査員が注意することとして、「実際の運用状況を監査すること」と、「自部署の監査は行わないこと」の2つです。

運用状況の監査は、サンプリングで行うことができますが、リモートで内部監査を行う場合は、被監査側に記録を見せてもらわなければいけません。

監査チェックリストに基づいて客観的な証拠となる記録を確認することは、直接内部監査を行う場合も同様ですが、リモートでは被監査側に画面などを共有してもらう必要がありま す。書類やパソコンの画面、キャビネットの施錠状況など何度も確認するようにしましょう。

３．リモートワークで必要となるセキュリティ対策

リモートワークでは、オフィス内での作業とは異なり、自宅や外出先など、さまざまな場所で作業を行うためセキュリティ対策を講じる必要があります。

(1)パスワード管理
他人に推測されにくい強固なパスワードを設定し、適切に管理することで、不正アクセスを防ぐことができます。

また、パスワード管理ツールを利用すると、多数のパスワードを安全に管理することができるため、効率化を図れます。

関連：不正アクセスの被害事例について理解する – Securify｜国産のASM×脆弱性診断を簡単に

(2)データ暗号化
データが盗まれた場合や、第三者によって閲覧されるリスクを減らすために、データを暗号化する必要があります。

特に、個人情報や機密情報を扱う場合は、データの暗号化は必須となります。

(3)デバイスの物理的な管理
デバイスが盗難にあった場合や、紛失した場合に備えて、デバイスの物理的な管理も重要です。

例えば、PCのロック機能を利用したり、デバイスを常に目の届く場所に置いておくなどの対策があげられます。

関連：シャドーITとは 原因やセキュリティリスク、対策を解説|セキュリティ対策Lab

(4)ファイアウォールの利用
ファイアウォールとは、本来「防火壁」という意味ですが、IT分野でのファイアウォールは、コンピュータネットワークにおけるセキュリティシステムを指します。

不正なネットワークアクセスを防ぐために、許可された通信のみを通過させる役割を果たします。

ファイアウォールを設定することで、不正な通信をブロックし、情報漏洩を防ぐことができます。

(5)VPNの利用
VPNとは、Virtual Private Networkの略で、「仮想的な専用線を作り出す技術」のことを指し、公共のネットワークを利用しながらも、まるで自社の専用線を通じて通信を行っているかのような安全な通信環境を作り出すことができます。

これにより、遠隔地からでも企業の内部ネットワークに安全にアクセスすることが可能となり、リモートワークやテレワークの環境においては欠かせない存在となっています。また、通信内容を暗号化することで、第三者による情報の盗み見や改ざん、不正アクセスを防ぐことができます。

(6)マルウェア対策
マルウェアとは、英単語のmalicious（マリシャス：悪意のある）とsoftware（ソフトウェア）の2つが組み合わさった造語で、コンピューターやネットワークに対して悪意のある行為を行うために設計されたソフトウェアのことを指します。ウイルス、ワーム、トロイの木馬、スパイウェアなどがこれに該当します。

マルウェアは、ユーザーの許可なくコンピューターシステムに侵入し、データを盗んだり、システムを破壊したり、他のコンピューターに感染させたりします。

これらの攻撃は、個人のプライバシーの侵害や、企業のビジネスに重大な影響を及ぼす可能性があります。

そのため、マルウェアから自身のコンピューターやネットワークを守るためには、定期的なセキュリティソフトウェアの更新、不審なメールやウェブサイトからのダウンロードを避けるなどの対策が必要です。

また、アンチウイルスソフトを導入し、定期的にウイルススキャンを行うことで、マルウェアによる情報漏洩を防ぐことができます。

(7)教育・啓発
従業員一人ひとりがセキュリティ意識を持つことが最も重要です。定期的なセキュリティ研修を行い、リモートワークにおけるリスクと対策を理解してもらう必要があります。

４．テレワーク実施企業におけるPマーク審査

プライバシーマーク（Pマーク）の審査は、「形式審査」、「文書審査」、「現地審査」の3つで構成されています。

このうち「現地審査」は、審査員の方が会社に直接来られる審査です。「形式審査」と「文書審査」の２つは、事前に審査機関にて実施されます。

プライバシーマーク（Pマーク）はテレワークを導入している企業も取得できますが、現地審査はどこで行われるのでしょうか。

これは、テレワークを実施しているのが一部の部署なのか会社全体なのか、またその部署が個人情報を扱っているかどうかにより異なります。

現地審査では、文書審査の結果に基づいて修正が行われているか、プライバシーマーク（Pマーク）の運用書類と実際の業務内容が一致しているか、また、現場のセキュリティ体制に問題がないかなどを、1日かけて審査します。

そのため、一部テレワークを導入している企業の場合、個人情報の取り扱いが一番多い拠点、多くの場合、本社のオフィスで行われることが多いです。

一方、オフィスを持たないフルリモート企業や、バーチャルオフィスを利用している企業の場合、個人情報を取り扱う場所として、多くの場合、代表者の自宅などで現地審査が行われます。

具体的な実施場所は、企業によって異なるため、事前に審査機関へ確認する必要があります。

プライバシーマーク（Pマーク）の審査について、詳細は下記の記事をご確認ください。

５．リモートワークにおける漏洩事故事例

リモートワークにおける漏洩事故は、社員が自宅や外出先から業務を行う際に、セキュリティ対策が不十分だったり、社員自身のセキュリティ意識が低かったりすることが原因で、社内情報や個人情報などが外部に漏れる事故のことを指します。

事故を防ぐためには、社員一人ひとりがセキュリティ意識を持ち、適切なセキュリティ対策を行うことが大切です。

また、企業側も、リモートワークにおけるセキュリティポリシーやガイドラインを明確にし、社員に周知徹底する必要があります。

事故事例(1)

■移動中や共有スペースなどでの業務中の確認不足・意識の欠如による事故

・共有スペースでのWeb会議中、会話内容に含まれていた顧客情報が、周囲に漏れ聞こえてしまっていた。

・ノートPCで顧客情報ファイルを開いたまま離席し、PC画面が第三者にのぞき見されてしまった。

【原因】
・認識不足
・気の緩み、意識の欠如　など

引用元：JIPDEC 一般財団法人 日本情報経済社会推進協会
「基本編：個人情報の取扱いに関する事故を起こさないために【テレワーク時に注意すべきこと】」

【対策】
共有スペースからWeb会議に参加する場合、顧客情報を伝える際は、声に出さずリモート会議ツールのチャット機能などを用いて伝えるのが良いでしょう。

また、共有スペースなどを利用する際は、普段よりもデバイスの盗難や紛失に注意を払う必要があるため、いつでも手の届く場所に置いておきましょう。

やむを得ず離席しないといけない場合、必ずロックをかけ、PC内の情報を第三者に見られないようにしましょう。

事故事例(2)

■テレワークのためオフィスに不在の時
管理の不手際

・退会手続きの書類がオフィスに届いていたが、テレワークのため確認できず、退会手続きをしていなかったため、本来送るべきではない会員向けのメールを送ってしまった。

・担当者がテレワーク中に、オフィスの席に置かれた書類が、担当者に渡らず所在不明になった。

【原因】
・作業環境、手順が変わったことによるミス
・書類の管理ミス
など
引用元：JIPDEC 一般財団法人 日本情報経済社会推進協会
「基本編：個人情報の取扱いに関する事故を起こさないために【テレワーク時に注意すべきこと】」

【対策】
テレワークで郵便物などの書類が確認できない場合、代わりに受け取った人や出社している同じ部署の人が、担当者へ郵便物が届いていることを伝えるなど、ルールを設定し、書類の管理をすると良いでしょう。

６．まとめ

Pマークは、テレワークを導入している企業も取得することができます。

オフィスとは異なる環境でオフィスと同じ業務を行う際に、どのようなリスクが伴うのかを考え、テレワークの実態に沿ったルールを設定する必要があります。

また、人によってネットワーク環境が異なるため、漏洩事故を防ぐためにも、しっかりとしたセキュリティ対策を講じる必要があります。

Pマーク取得について、お気軽にお問合せください。