Pマーク取得企業がテレワークを実施する際の手順と注意点

１．そもそもテレワークを導入していてもPマーク取得できるのか

テレワークを導入している企業でも、プライバシーマーク（Pマーク）の取得・運用は可能です。
プライバシーマークは企業が個人情報を適切に管理していることを証明するマークですので、テレワークでも、個人情報の取り扱いに関するルールを遵守し、適切なセキュリティ対策を講じていれば取得・運用することができます。
具体的には、テレワークにおける情報漏洩のリスクを評価し、対策を講じることが必要です。
また、その対策が適切に運用されているかどうかを定期的に監査することも求められます。

２．Pマーク取得企業がテレワークを実施する際の手順

以下(1)～(6)の手順を踏む必要があります。

⑴テレワークで取り扱う個人情報の把握

テレワークで取り扱う個人情報を把握することは、情報漏洩や不正利用を防ぐために非常に重要です。
まずは、個人情報の定義を組織で明確にします。
個人情報とは氏名、住所、電話番号、メールアドレス、クレジットカード情報、健康情報など、特定の個人を識別できる情報を指します。
例えば顧客情報、従業員情報、取引先情報など、テレワークで取り扱う個人情報の定義を決定しましょう。

⑵リスク分析を行う

テレワークで取り扱う個人情報の定義を決定したあとは、どのようなリスクがあるのかを分析する必要があります。
例えば、テレワークを行うことで以下のリスクが考えられます。

• 自宅のネットワーク環境からウイルスに感染する
• デバイスの紛失や盗難による情報漏洩

これらのリスクに対して、以下のような対策を講じ、社内ルールとして明文化することが望ましいです。

• 自宅のWi-Fiは必ずパスワードが設定されたものを利用する
• Wi-Fiパスワードを初期設定から変更する

⑶マニュアル・規定・記録類を対応させる

テレワークを行う際には、漏洩事故を未然に防ぐためにも、以下のようなセキュリティ対策を考慮する必要があります。

①テレワークで取り扱う個人情報を特定し、その情報がどのように管理されているかを確認する。
②特定した個人情報についてリスク分析を行い、情報漏洩などのリスクを評価する。
③リスク分析の結果に基づき、必要なセキュリティルールを設定し、文書化する。
④ルールの実施に必要な記録形式などを整備し、テレワーク導入準備を進める。
⑤テレワーク実施の際に他社サービスを利用する場合は、そのサービスが個人情報の委託先に該当するかを確認し、該当する場合はその監督を行う。
⑥テレワークを行う従業員に対し、設定したルールを教育し、理解を深めてもらう。
⑦テレワーク開始後も、定期的にルールが守られているかを監視する。

⑷定めたルールを従業員に周知する

マニュアル・規程・記録類を対応させるだけでは意味がありません。
定めたルールを従業員に周知すること、言い換えると「従業員教育」を行うことが必要です。

実際にテレワーク導入を行っている従業員への周知や教育は必須ですが、組織によって
「全従業員がテレワークを実施する予定がある場合」は、全従業員の周知・教育が望ましいです。
周知方法は一般的には2つ挙げられます。
①社内・外部研修といった教育テキスト・テストを用いた実施方法
②e-ラーニングなどのシステムを用いた実施方法

特に「②e-ラーニングなどのシステムを用いた実施方法」は場所・時間を問わず実施できるため、テレワーク導入者または全従業員への周知・教育にはとても最適です。

⑸従業員への教育実施

一度周知・教育をテレワーク導入者または全従業員へ実施して終わりではないことを認識しておきましょう。

(4)では、周知・教育について以下の方法を挙げました。
①社内・外部研修といった教育テキスト・テストを用いた実施方法
②e-ラーニングなどのシステムを用いた実施方法

一度切りの教育だけではただの処置でしかなく、いつ情報漏洩が起きてもおかしくないです。
定期的なe-ラーニングや社内・社外研修を行うことが重要です。
社内1人ひとりのテレワークに関する意識向上やルールの周知のため、定期的にルールが守られているかを確認しましょう。

⑹定期的に見直しを行う

テレワークに関連する運用やルール上の見直しは定期的に実施します。
テレワーク導入や周知、教育の実施だけでは終わりません。
Pマークにあたる「運用の確認（定期点検）」の実施も必要不可欠です。

実施方法は様々ですが、組織にあった対応を実施しましょう。

• テレワーク導入者本人にセルフチェックさせる
• 管理者からのルール周知後、ルール通り実施出来ているかヒヤリングやテストの実施
• 社内アンケート
  ルールが適切に実施されていることを確認し、適宜ルールの見直しを行うことが重要です。

３．テレワーク実施企業におけるPマーク審査

プライバシーマーク（Pマーク）の審査は、「形式審査」、「文書審査」、「現地審査」の3つで構成されています。このうち「現地審査」は審査員の方が直接来られる審査です。
一般的に個人情報の取扱いが多い場所になるので社内オフィスが多いですが、例外的に自宅という場合もあります。
ではプライバシーマーク（Pマーク）はテレワークを導入している企業も取得できますが、現地審査はどこで行われるのでしょうか。
これは、テレワークを実施しているのが一部部署なのか会社全体なのか、またはその部署が個人情報を扱っているのかどうかにより審査時の場所が異なります。

現地審査では、文書審査の結果に基づいて修正が行われているか、プライバシーマーク（Pマーク）の運用書類と実際の業務が一致しているか、また、現場のセキュリティ体制に問題がないかなど、1日かけて審査します。

⑴一部リモートワークを導入している企業の場合

ポイントは、「個人情報を取り扱う業務がどこで行われているか」によって審査の場所が異なります。

例えば、経理、総務や人事などの業務を会社やオフィスで行い、それ以外の業務をリモートワーク（在宅）で行う場合を想定します。
上記の場合、経理、総務や人事においてリモートワーク（在宅）時よりも個人情報が取り扱われている場合が想定されるため、多くの場合は社内オフィスで現地審査が行われます。
そのため、現地審査時は個人情報の取り扱い担当者が社内オフィスに出社して対応する必要があります。

もちろん、リモートワーク（在宅）時に個人情報を取り扱う業務を行っている場合は、自宅で現地審査が行われるため認識しましょう。

⑵フルリモートワークを導入している企業の場合

この場合は社内オフィスを持たないフルリモートワーク（完全在宅）を導入している場合の審査です。
結論、バーチャルオフィスを利用している企業も含め、個人情報を取り扱う場所として、多くの場合、
「代表者の自宅など」で現地審査が行われます。

具体的な実施場所について、その組織や企業によって異なるため、事前に審査機関へ確認する必要があります。フルリモートワークを導入している企業の場合、どの場所で審査を受けるのが適切なのか、審査前に審査機関へお問合せした上で、審査に望みましょう。

４．テレワークを実施する際に注意する点

テレワークを実施する際に注意する点としては、オフィスでの作業とは異なり、在宅等の場所で作業をおこなうためのセキュリティ対策を講じる必要があります。

関連：エンジニアがリモートワークできるおすすめの副業を紹介！注意点も解説

⑴パスワード管理

企業や組織によって、パスワードの設定や管理方法が異なるため、どんなルールで対応が必要なのかを把握しましょう。
（例：パスワードは8文字以上、英数混合、誕生日など簡単なパスワードなどは使用しない）
複数のシステムやサービスで同じパスワードの使いまわしも良くないです。
また、パスワードの定期的な変更は企業や組織によって異なるため、確認が必要です。
近年頻繁すぎるパスワードの変更は、逆にセキュリティリスクを高める可能性があるため、リスクに応じて適切な頻度を設定します。
特に、パスワード管理についてツール（例: LastPass、1Password）を利用し、安全にパスワードを保管する方が良いでしょう。
パスワード管理ツールは、多数のパスワードを安全に管理することができるため、効率化も図れます。

関連：不正アクセスの被害事例について理解する – Securify｜国産のASM×脆弱性診断を簡単に

⑵データ暗号化

データが盗まれた場合や、第三者によって閲覧されるリスクを減らすために、データを暗号化する必要があります。
例えば、以下のような対策を実施しておきましょう。

• 通信の暗号化
  自宅のネットワークを利用する場合、VPN（仮想プライベートネットワーク）を使用する
• データの保存時の暗号化
  PCや外部ストレージ（外付けHDD）に保存するデータは、強力な暗号方式を使用して暗号化する
  クラウドストレージは利用する場合、データが暗号化されていることを確認する
• 暗号鍵の管理
  暗号化に使用する鍵（暗号鍵）は厳重に管理する
  鍵を共有する場合は、安全な方法（例：専用の鍵管理ツール）を使用する
• メールやファイル送信時の暗号化
  メールで個人情報や機密情報を送信する場合、添付ファイルを暗号化し、パスワードを別の手段
  （電話や別メール）で送る
  ファイル共有サービスを利用する場合、暗号化機能対応を選ぶ
• デバイスの暗号化
  定期的に最新の暗号化方式に更新する
• バックアップデータの暗号化
  テレワーク環境で作成したバックアップデータも暗号化し、適切に保管する

データの暗号化を適切に実施することで、情報漏洩リスクを最小限に抑えることができます。

⑶デバイスの物理的な管理

デバイスが盗難にあった場合や、紛失した場合に備えて、デバイスの物理的な管理も重要です。

• デバイスの持ち出しルールの策定
  業務用デバイスの持ち出しに関するルールを明確にし、従業員に周知します
• 盗難・紛失対策
  デバイスを持ち運ぶ際は、専用のケースやロック機能を使用する
  紛失時に備え、遠隔削除機能（リモートワイプ）を有効にしておく
• 保管場所の確保
  自宅でのデバイス保管は、鍵付きの引き出しやロッカーを使用する
• デバイス（PC等）の画面の覗き見防止やアクセス制限の徹底
  プライバシーフィルターを使用して画面の覗き見を防ぐ
  デバイスにログインする際は、二段階認証のパスワードや、生体認証を必須とする

関連：シャドーITとは 原因やセキュリティリスク、対策を解説|セキュリティ対策Lab

⑷ファイアウォールの利用

ファイアウォールとは、本来「防火壁」という意味ですが、IT分野でのファイアウォールは、コンピュータネットワークにおけるセキュリティシステムを指します。

• 設定の適切化
  不要なサービスを閉じ、必要最小限の通信のみを許可する
  ルール設定を定期的に見直しする
• ソフトウエアの更新とログの監視
  ソフトウエアを定期的に更新し、最新バーションに保つ
  ログを定期的に確認し、不審な通信が無いか監視を行う

不正なネットワークアクセスを防ぐために、許可された通信のみを通過させる役割を果たします。
ファイアウォールを設定することで、不正な通信をブロックし、情報漏洩を防ぎましょう。

⑸VPNの利用

VPNとは、Virtual Private Networkの略で、「仮想的な専用線を作り出す技術」のことを指し、公共のネットワークを利用しながらも、まるで自社の専用線を通じて通信を行っているかのような安全な通信環境を作り出すことができます。

• VPNとファイアウォールの併用
  VPNを利用する場合でも、ファイアウォールを無効にしない
  VPNトンネル内の通信もファイアウォールで監視する
• ログの監視と分析
  VPN接続時の通信ログをファイアウォールで記録し、不審な動きを検出する

遠隔地からでも企業の内部ネットワークに安全にアクセスすることが可能となり、テレワークの環境においては欠かせない存在となっています。また、通信内容を暗号化することで、第三者による情報の盗み見や改ざん、不正アクセスを防ぐことができます。

⑹マルウェア対策

従業員が自宅のネットワークを使用して業務を行う際に、セキュリティリスクを最小限に抑えるために非常に重要です。

マルウェアとは、英単語のmalicious（マリシャス：悪意のある）とsoftware（ソフトウェア）の2つが組み合わさった造語で、コンピューターやネットワークに対して悪意のある行為を行うために設計されたソフトウェアのことを指します。ウイルス、ワーム、トロイの木馬、スパイウェアなどがこれに該当します。

マルウェアは、ユーザーの許可なくコンピューターシステムに侵入し、データを盗んだり、システムを破壊したり、他のコンピューターに感染させたりします。これらの攻撃は、個人のプライバシーの侵害や、企業のビジネスに重大な影響を及ぼす可能性があります。

• セキュリティソフトの導入と更新
  信頼性の高いセキュリティソフトをインストールし、常に最新版の状態に保つ
  定期的にウイルススキャンを実施する
• OSやソフトウェアのアップデート
  OSやアプリケーションを常に最新バージョンに更新する
  自動更新機能を有効にしておく

これらの対策を実施することで、テレワーク環境におけるマルウェアのリスクを大幅に軽減することができます。

⑺教育・啓発

従業員一人ひとりがセキュリティ意識を持つことが最も重要です。
従業員がセキュリティリスクを理解していないと、ヒューマンエラーが発生しやすくなります。

• 定期的なセキュリティ研修を行う
  マルウェアやフィッシング攻撃の事例を共有し、注意喚起を行う

以上のような教育や啓発を定期的に実施することで、テレワークにおけるリスクと対策を理解してもらう必要があります。

５．リモートワークにおける漏洩事故事例

リモートワークにおける漏洩事故は、社員が自宅や外出先から業務を行う際に、セキュリティ対策が不十分だったり、社員自身のセキュリティ意識が低かったりすることが原因で、社内情報や個人情報などが外部に漏れる事故のことを指します。
事故を防ぐためには、社員一人ひとりがセキュリティ意識を持ち、適切なセキュリティ対策を行うことが大切です。

また、企業側も、リモートワークにおけるセキュリティポリシーやガイドラインを明確にし、社員に周知徹底する必要があります。

事故事例(1)

■移動中や共有スペースなどでの業務中の確認不足・意識の欠如による事故

・共有スペースでのWeb会議中、会話内容に含まれていた顧客情報が、周囲に漏れ聞こえてしまっていた。
・ノートPCで顧客情報ファイルを開いたまま離席し、PC画面が第三者にのぞき見されてしまった。
【原因】
・認識不足
・気の緩み、意識の欠如　など
引用元：JIPDEC 一般財団法人 日本情報経済社会推進協会
「基本編：個人情報の取扱いに関する事故を起こさないために【テレワーク時に注意すべきこと】」

【対策】
共有スペースからWeb会議に参加する場合、顧客情報を伝える際は、声に出さずリモート会議ツールのチャット機能などを用いて伝えるのが良いでしょう。
また、共有スペースなどを利用する際は、普段よりもデバイスの盗難や紛失に注意を払う必要があるため、いつでも手の届く場所に置いておきましょう。
やむを得ず離席しないといけない場合、必ずロックをかけ、PC内の情報を第三者に見られないようにしましょう。

事故事例(2)

■テレワークのためオフィスに不在の時
管理の不手際
・退会手続きの書類がオフィスに届いていたが、テレワークのため確認できず、退会手続きをしていなかったため、本来送るべきではない会員向けのメールを送ってしまった。
・担当者がテレワーク中に、オフィスの席に置かれた書類が、担当者に渡らず所在不明になった。
【原因】
・作業環境、手順が変わったことによるミス
・書類の管理ミスなど
引用元：JIPDEC 一般財団法人 日本情報経済社会推進協会
「基本編：個人情報の取扱いに関する事故を起こさないために【テレワーク時に注意すべきこと】」

【対策】
テレワークで郵便物などの書類が確認できない場合、代わりに受け取った人や出社している同じ部署の人が、担当者へ郵便物が届いていることを伝えるなど、ルールを設定し、書類の管理をすると良いでしょう。

６．まとめ

テレワークを導入している企業でも、プライバシーマーク（Pマーク）の取得・運用は可能です。

ただし、オフィスとは異なる環境で業務を行うため、リスクを考慮したルールの設定やセキュリティ対策が必要です。審査対応や教育、定期的な点検を通じて、強固なセキュリティ体制を構築しましょう。
Pマーク取得について、お気軽にお問合せください。