2025年1月6日
Pマーク取得企業がテレワークを実施する際の手順と注意点
Pマーク(プライバシーマーク)を取得している企業がテレワークや在宅勤務を導入する際、個人情報保護の観点からさまざまな注意点があります。
テレワーク導入に伴うリスクを最小限に抑え、円滑な業務遂行を実現するためには、リスク分析や従業員の意識向上も必要です。また、委託先の監督やルールの遵守状況の確認も重要なポイントです。
2024年11月12日
Pマーク(プライバシーマーク)を取得するには、個人情報の適切な取り扱いが求められますが、その一環として、入退室管理と来客記録が重要な役割を果たします。
入退室管理とは、誰がいつどこに出入りしたかを把握する仕組みで、来客記録は、来訪者の氏名、所属、訪問目的などを記録するものです。
適切なシステムや手順を導入し、継続的に運用することが求められます。
入退室管理とは、従業員が事務所や会社に入室、退室する際に取得する記録のことを指します。
入室、退室は常時管理しなければならないものではなく、「最初の」入室者、「最後の」退出者のみの管理で足ります。
自社ビルの場合、玄関の解錠、施錠は何時に行われたのか、行ったのは誰か。ビルに入居している場合は、その入居先のオフィス出入り口の解錠、施錠は何時に誰が行ったのかを管理しなければならないというものです。
対象は本社やメインフロアだけでなく、従業員が在籍し個人情報を保管している場所であれば取得する必要があります。
入退室管理を行う背景としては、個人情報の適切管理を行うため、事故などが発生した際の追跡のためとなっており、退出時には単に事務所を施錠したというだけでなく、窓は閉められているか、個人情報を保管したキャビネットの施錠は行えているかなど安全対策にも考慮した項目を加える事例もあります。
来客記録とは、社外の方が組織の事業所を訪れた際に、その記録を残すことを指します。
個人情報の漏えいなどのトラブル発生時、原因究明や対策に役立てるため、来客記録を取得します。一般的に、個人情報を取り扱う部署へのアクセスを制限するために、受付を設置し、来訪者記録を必ず取得するケースが多いです。ただし、執務スペースが外部から見えない構造の場合、会議室や来訪スペースへの案内後に記録を取得するケースも見られます。
来客記録には、従業員の入退室記録と同様に、誰がいつ事業所内に立ち入ったのかという情報が必須です。そのため、来訪者の会社名、氏名、来訪時刻、来訪理由などを記録することが一般的です。
なぜ入退室管理が必要なのかと言うと、個人情報に関わる事故が起きた際に、
誰がそこに居たのかを追跡できる状態を維持するためです。
事務所全体の最初の開錠、最後の施錠を誰がいつ行ったかを記録することで、その日鍵が掛けられていたのか? 最後に事務所を出る際に異変はなかった? 等を実施者に確認することができます。
執務室に部外者が来訪する際、誰がいつ、何の目的で来たかを記録することで、個人情報に関わる事故が起きた際、外部の人間がいなかったかをいち早く把握することができます。
紙媒体以外にも、会社のカレンダーアプリやスケジュール管理ツールを活用することで、「いつ」「どの会社の」「誰が」来訪したのかを共有・記録できます。これにより、来訪者の情報が一元化され、効率的な管理が可能になります。
ただし、履歴として長期的に保存する必要があるため、ホワイトボードなどに手書きで記録し、定期的に消去するような方法は、情報漏洩やデータの消失のリスクが高く、適切な手段とは言えません。
次は具体的な記録管理のやり方についてです。
誰がいつ開錠・施錠したかが分かれば良いので、賃貸ビルに入居している企業ではセキュリティカードのログで代用可能です。
最近は外付けで自動施錠ができ、ICカードが鍵になるサービスも出てきているので、それらのログも利用することが可能です。
それらの設備を利用されていない場合は、A4サイズの入退室記録を事務所入り口に掲示し、アナログで記録を残すこともできます。
来社時に受付スペースで用紙に記入してもらうパターンや、打ち合わせスペースへの案内後
用紙をお渡しして、打ち合わせ担当者が回収するというケースが多いです。
紙で作成する場合は、従業員の入退室記録であれば事務所や会社入口に紙を設置します。その日の最初の入室者、最終退出者を記載する必要があります。来訪者管理の際も同様に、入口や受付台、来訪者用スペース内に来訪者記録を設置しておく必要があります。
従業員の入退室記録は毎日取得する場合は膨大な数になりますので、毎月一枚で管理する会社が多いです。対して、来訪者記録の場合は、会社名と個人名が表記されることが多く個人情報に当たるため、一枚一情報として管理することが求められます。
紙で作成したものを、PDFなどに変換、データとして保管する場合もありますが、その際はデータ化するまでの保管期限を決め、紙原本は処分すると良いでしょう。
事務所がシリンダー錠ではなく、入館証やICカードで施錠管理されている場合や、来訪者が多い場合は、紙での管理が煩雑になるため、データでの管理がおすすめです。
特に、従業員の入退室管理は、カード式や警備会社による管理が一般的になりつつあります。これらのシステムから、必要な情報(氏名、入退室時刻など)を抽出して、来訪者記録に活用することも可能です。
また、来訪者記録については、会社で共有しているカレンダーや、タブレット受付システムを利用することもできます。コロナ禍以降、クラウドサービスによる来訪管理システムを導入する企業が増え、紙の記録は不要になるケースも増えてきています。
(1)従業員管理 (2)来訪者管理 共に、記録は2年間の保管を推奨しています。
実は、Pマーク規格要求事項や法的要求事項には上記記録の保管期間の定めがありません。
その為、自社の判断で保管期間を定める必要がありますが、その際、基準となるのがPマーク現地審査です。
上記の記録は当然、現地審査で確認される内容ですので、現地審査時に過去の記録がないという状況は、運用実績がないと判断されるリスクがあります。
認証取得後の審査は2年毎に実施される為、前回審査から次回審査までの2年分の記録を保管しておけば安心です。
よくある失敗事例として、やり過ぎてしまうというケースをよく目にします。
これは審査員に言われたことに対して、やらなくていい範囲まで対応してしまったり、大企業出身のマネジメント層が、大企業の運用をそのまま中小企業に当て込んでしまうことで起こりがちです。
審査員が言っているから、このルールでずっとやってきたから、 という対応が残り続けることで、結果Pマーク運用が重たくなってしまったケースです。
「機器管理台帳」とはノートPCやUSBメモリなど、情報端末を持ち出す際に誰がいつ持ち出したか、いつ返却したかの記録です。
運用されているケースをよく目にしますが、実はPマーク規格要求事項では「機器管理台帳」の運用は求められていません。(※顧客要求、社内要求、法的要求が該当する場合は除きます)
人数が数百名~数千名の大企業となってくると、情報端末の行方が分からなくなってしまうのでこのような個別の管理が必要になってくるケースもあります。
しかし、中小企業でこのルールを当て込んでしまうのはやり過ぎです。
例えば、ノートPCやUSBメモリといった情報端末を退勤時に鍵付きキャビネットに保管するルールを作ってしまえば、入退室記録に”キャビネットの施錠確認をしたか?”の項目を追加・チェックするだけで解決できます。
「鍵管理台帳」とは、事務所や金庫、キャビネットの鍵を誰がいつ持ち出したか、いつ返却したかの記録です。
現場でよく目にするケースですが、こちらもPマーク規格要求事項では求められていない運用です。(※顧客要求、社内要求、法的要求が該当する場合は除きます)
こちらも、退勤時にキーボックスに鍵を保管するルールを作ってしまえば、”入退室記録でキーボックスの施錠がされているか”を確認すればOKです。
「4.入退室管理・来客記録の作成方法」 で上述の通り、入退室管理は紙媒体の運用は必須ではありません。
しかし、実際にはそれが知られておらず審査の為だけに紙媒体で記録を取っている企業もあります。
管理会社などから、セキュリティカードのログももらえる場合はそれをそのまま使っても良いのです。
Pマーク審査はまだまだ紙の文化が根付いていますが、時代の変遷とともにデータの利活用も少しずつ認められてきました。
審査の為だけの記録を作るのではなく、今ある環境で使えるものはそのまま使ってみましょう。
入退室管理について、ご理解いただけましたでしょうか。
Pマークのためだけの紙運用はやめて、”自社に適した” ”既に運用している環境”をそのまま活かしたPマーク運用ができるよう、当社がサポートいたします。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください