2024年9月30日
Pマークのルールに違反するとどうなる?リスクと対応策を解説
Pマーク(プライバシーマーク)のルールに違反すると、個人情報漏洩などの深刻な事故に繋がりかねません。このような事態は、取引停止や入札資格の喪失、顧客からの信頼失墜といった、企業の信用力や事業継続に多大な影響をもたらす可能性があります。最悪の場合、Pマークの付与が取り消される可能性もあります。
Pマークを取得した企業は、継続的な情報セキュリティ対策と法令遵守が不可欠です。
2023年10月19日
Pマークはテレワーク導入企業でも取得できます。Pマーク取得企業がテレワークを行う際は、漏洩事故を防ぐためにも、リスク分析を行い、必要なルールを設定し、従業員に教育する必要があります。また、委託先の監督やルールの順守確認も重要です。
リモートワークを導入している企業でも、プライバシーマーク(Pマーク)の取得・運用は可能です。
プライバシーマークとは、個人情報マネジメントシステムの認証制度で、企業が個人情報を適切に管理していることを証明するマークです。
そのため、リモートワークでも、個人情報の取り扱いに関するルールを遵守し、適切なセキュリティ対策を講じていれば取得・運用することができます。
具体的には、リモートワークにおける情報漏洩のリスクを評価し、対策を講じることが必要です。
また、その対策が適切に運用されているかどうかを定期的に監査することも求められます。
したがって、リモートワークを導入している企業が、プライバシーマークを取得・運用するためには、リモートワークにおける個人情報保護の方針を明確にし、それを従業員に周知徹底することが重要となります。
リモートワークを行う際には、漏洩事故を未然に防ぐためにも、以下のようなセキュリティ対策を考慮する必要があります。
①リモートワークで取り扱う個人情報を特定し、その情報がどのように管理されているかを確認する。
②特定した個人情報についてリスク分析を行い、情報漏洩などのリスクを評価する。
③リスク分析の結果に基づき、必要なセキュリティルールを設定し、文書化する。
④ルールの実施に必要な記録形式などを整備し、リモートワークの準備を進める
⑤リモートワーク実施の際に他社サービスを利用する場合は、そのサービスが個人情報の委託先に該当するかを確認し、該当する場合はその監督を行う。
⑥リモートワークを行う従業員に対し、設定したルールを教育し、理解を深めてもらう。
⑦リモートワーク開始後も、定期的にルールが守られているかを監視する。
内部監査を直接できない場合、テレビ会議システムなどを利用して、リモートでも内部監査を行うことができます。
Pマーク(プライバシーマーク)の内部監査で各監査員が注意することとして、「実際の運用状況を監査すること」と、「自部署の監査は行わないこと」の2つです。
運用状況の監査は、サンプリングで行うことができますが、リモートで内部監査を行う場合は、被監査側に記録を見せてもらわなければいけません。
監査チェックリストに基づいて客観的な証拠となる記録を確認することは、直接内部監査を行う場合も同様ですが、リモートでは被監査側に画面などを共有してもらう必要がありま す。書類やパソコンの画面、キャビネットの施錠状況など何度も確認するようにしましょう。
リモートワークでは、オフィス内での作業とは異なり、自宅や外出先など、さまざまな場所で作業を行うためセキュリティ対策を講じる必要があります。
関連:エンジニアがリモートワークできるおすすめの副業を紹介!注意点も解説
(1)パスワード管理
他人に推測されにくい強固なパスワードを設定し、適切に管理することで、不正アクセスを防ぐことができます。
また、パスワード管理ツールを利用すると、多数のパスワードを安全に管理することができるため、効率化を図れます。
関連:不正アクセスの被害事例について理解する – Securify|国産のASM×脆弱性診断を簡単に
(2)データ暗号化
データが盗まれた場合や、第三者によって閲覧されるリスクを減らすために、データを暗号化する必要があります。
特に、個人情報や機密情報を扱う場合は、データの暗号化は必須となります。
(3)デバイスの物理的な管理
デバイスが盗難にあった場合や、紛失した場合に備えて、デバイスの物理的な管理も重要です。
例えば、PCのロック機能を利用したり、デバイスを常に目の届く場所に置いておくなどの対策があげられます。
関連:シャドーITとは 原因やセキュリティリスク、対策を解説|セキュリティ対策Lab
(4)ファイアウォールの利用
ファイアウォールとは、本来「防火壁」という意味ですが、IT分野でのファイアウォールは、コンピュータネットワークにおけるセキュリティシステムを指します。
不正なネットワークアクセスを防ぐために、許可された通信のみを通過させる役割を果たします。
ファイアウォールを設定することで、不正な通信をブロックし、情報漏洩を防ぐことができます。
(5)VPNの利用
VPNとは、Virtual Private Networkの略で、「仮想的な専用線を作り出す技術」のことを指し、公共のネットワークを利用しながらも、まるで自社の専用線を通じて通信を行っているかのような安全な通信環境を作り出すことができます。
これにより、遠隔地からでも企業の内部ネットワークに安全にアクセスすることが可能となり、リモートワークやテレワークの環境においては欠かせない存在となっています。また、通信内容を暗号化することで、第三者による情報の盗み見や改ざん、不正アクセスを防ぐことができます。
(6)マルウェア対策
マルウェアとは、英単語のmalicious(マリシャス:悪意のある)とsoftware(ソフトウェア)の2つが組み合わさった造語で、コンピューターやネットワークに対して悪意のある行為を行うために設計されたソフトウェアのことを指します。ウイルス、ワーム、トロイの木馬、スパイウェアなどがこれに該当します。
マルウェアは、ユーザーの許可なくコンピューターシステムに侵入し、データを盗んだり、システムを破壊したり、他のコンピューターに感染させたりします。
これらの攻撃は、個人のプライバシーの侵害や、企業のビジネスに重大な影響を及ぼす可能性があります。
そのため、マルウェアから自身のコンピューターやネットワークを守るためには、定期的なセキュリティソフトウェアの更新、不審なメールやウェブサイトからのダウンロードを避けるなどの対策が必要です。
また、アンチウイルスソフトを導入し、定期的にウイルススキャンを行うことで、マルウェアによる情報漏洩を防ぐことができます。
(7)教育・啓発
従業員一人ひとりがセキュリティ意識を持つことが最も重要です。定期的なセキュリティ研修を行い、リモートワークにおけるリスクと対策を理解してもらう必要があります。
プライバシーマーク(Pマーク)の審査は、「形式審査」、「文書審査」、「現地審査」の3つで構成されています。
このうち「現地審査」は、審査員の方が会社に直接来られる審査です。「形式審査」と「文書審査」の2つは、事前に審査機関にて実施されます。
プライバシーマーク(Pマーク)はテレワークを導入している企業も取得できますが、現地審査はどこで行われるのでしょうか。
これは、テレワークを実施しているのが一部の部署なのか会社全体なのか、またその部署が個人情報を扱っているかどうかにより異なります。
現地審査では、文書審査の結果に基づいて修正が行われているか、プライバシーマーク(Pマーク)の運用書類と実際の業務内容が一致しているか、また、現場のセキュリティ体制に問題がないかなどを、1日かけて審査します。
そのため、一部テレワークを導入している企業の場合、個人情報の取り扱いが一番多い拠点、多くの場合、本社のオフィスで行われることが多いです。
一方、オフィスを持たないフルリモート企業や、バーチャルオフィスを利用している企業の場合、個人情報を取り扱う場所として、多くの場合、代表者の自宅などで現地審査が行われます。
具体的な実施場所は、企業によって異なるため、事前に審査機関へ確認する必要があります。
プライバシーマーク(Pマーク)の審査について、詳細は下記の記事をご確認ください。
リモートワークにおける漏洩事故は、社員が自宅や外出先から業務を行う際に、セキュリティ対策が不十分だったり、社員自身のセキュリティ意識が低かったりすることが原因で、社内情報や個人情報などが外部に漏れる事故のことを指します。
事故を防ぐためには、社員一人ひとりがセキュリティ意識を持ち、適切なセキュリティ対策を行うことが大切です。
また、企業側も、リモートワークにおけるセキュリティポリシーやガイドラインを明確にし、社員に周知徹底する必要があります。
■移動中や共有スペースなどでの業務中の確認不足・意識の欠如による事故
・共有スペースでのWeb会議中、会話内容に含まれていた顧客情報が、周囲に漏れ聞こえてしまっていた。
・ノートPCで顧客情報ファイルを開いたまま離席し、PC画面が第三者にのぞき見されてしまった。
【原因】
引用元:JIPDEC 一般財団法人 日本情報経済社会推進協会
・認識不足
・気の緩み、意識の欠如 など
「基本編:個人情報の取扱いに関する事故を起こさないために【テレワーク時に注意すべきこと】」
【対策】
共有スペースからWeb会議に参加する場合、顧客情報を伝える際は、声に出さずリモート会議ツールのチャット機能などを用いて伝えるのが良いでしょう。
また、共有スペースなどを利用する際は、普段よりもデバイスの盗難や紛失に注意を払う必要があるため、いつでも手の届く場所に置いておきましょう。
やむを得ず離席しないといけない場合、必ずロックをかけ、PC内の情報を第三者に見られないようにしましょう。
■テレワークのためオフィスに不在の時
管理の不手際・退会手続きの書類がオフィスに届いていたが、テレワークのため確認できず、退会手続きをしていなかったため、本来送るべきではない会員向けのメールを送ってしまった。
・担当者がテレワーク中に、オフィスの席に置かれた書類が、担当者に渡らず所在不明になった。
【原因】
・作業環境、手順が変わったことによるミス
・書類の管理ミス
など
引用元:JIPDEC 一般財団法人 日本情報経済社会推進協会
「基本編:個人情報の取扱いに関する事故を起こさないために【テレワーク時に注意すべきこと】」
【対策】
テレワークで郵便物などの書類が確認できない場合、代わりに受け取った人や出社している同じ部署の人が、担当者へ郵便物が届いていることを伝えるなど、ルールを設定し、書類の管理をすると良いでしょう。
Pマークは、テレワークを導入している企業も取得することができます。
オフィスとは異なる環境でオフィスと同じ業務を行う際に、どのようなリスクが伴うのかを考え、テレワークの実態に沿ったルールを設定する必要があります。
また、人によってネットワーク環境が異なるため、漏洩事故を防ぐためにも、しっかりとしたセキュリティ対策を講じる必要があります。
Pマーク取得について、お気軽にお問合せください。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください