2022年12月23日
Pマーク 入退室管理には(1)従業員管理 (2)来訪者管理 の2種類があり、主に個人情報に関わる事故が起きた際に、誰がそこに居たのかを追跡できる状態を維持するために行われます。管理項目はPマークの要求事項によって決められていますが、実はやり方はある程度自由が利くため、Pマークのためだけに新たな運用をしなくてもよい場合があります。
1.Pマークの入退室管理
Pマークの入退室管理には(1)従業員管理 (2)来訪者管理 の2種類があります。
(1)従業員管理
事務所全体の最初の開錠と最後の施錠を誰がいつ行ったかを記録します。
(2)来訪者管理
執務室に部外者が来訪する際、誰がいつ、何の目的で来たかを記録します。
2.なぜ入退室管理が必要なのか
なぜ入退室管理が必要なのかと言うと、個人情報に関わる事故が起きた際に、
誰がそこに居たのかを追跡できる状態を維持するためです。
(1)従業員管理
事務所全体の最初の開錠、最後の施錠を誰がいつ行ったかを記録することで、
その日鍵が掛けられていたのか? 最後に事務所を出る際に異変はなかった? 等を
実施者に確認することができます。
(2)来訪者管理
執務室に部外者が来訪する際、誰がいつ、何の目的で来たかを記録することで、
個人情報に関わる事故が起きた際、外部の人間がいなかったかをいち早く把握することができます。
3.保管期間
(1)従業員管理 (2)来訪者管理 共に、記録は2年間の保管を推奨しています。
実は、Pマーク規格要求事項や法的要求事項には上記記録の保管期間の定めがありません。
その為、自社の判断で保管期間を定める必要がありますが、その際、基準となるのがPマーク現地審査です。
上記の記録は当然、現地審査で確認される内容ですので、現地審査時に過去の記録がないという状況は、運用実績がないと判断されるリスクがあります。
認証取得後の審査は2年毎に実施される為、前回審査から次回審査までの2年分の記録を保管しておけば安心です。
4.Pマークの入退室管理のやり方
次は具体的な記録管理のやり方についてです。
(1)従業員管理
誰がいつ開錠・施錠したかが分かれば良いので、賃貸ビルに入居している企業では
セキュリティカードのログで代用可能です。
最近は外付けで自動施錠ができ、ICカードが鍵になるサービスも出てきているので、
それらのログも利用することが可能です。
それらの設備を利用されていない場合は、A4サイズの入退室記録を事務所入り口に
掲示し、アナログで記録を残すこともできます。
(2)来訪者管理
来社時に受付スペースで用紙に記入してもらうパターンや、打ち合わせスペースへの案内後
用紙をお渡しして、打ち合わせ担当者が回収するというケースが多いです。
5.よくある失敗事例
よくある失敗事例として、やり過ぎてしまうというケースをよく目にします。
これは審査員に言われたことに対して、やらなくていい範囲まで対応してしまったり、大企業出身のマネジメント層が、大企業の運用をそのまま中小企業に当て込んでしまうことで起こりがちです。
審査員が言っているから、このルールでずっとやってきたから、 という対応が残り続けることで、結果Pマーク運用が重たくなってしまったケースです。
《ケースその1》 機器管理台帳
「機器管理台帳」とはノートPCやUSBメモリなど、情報端末を持ち出す際に誰がいつ持ち出したか、いつ返却したかの記録です。
運用されているケースをよく目にしますが、実はPマーク規格要求事項では「機器管理台帳」の運用は求められていません。(※顧客要求、社内要求、法的要求が該当する場合は除きます)
人数が数百名~数千名の大企業となってくると、情報端末の行方が分からなくなってしまうのでこのような個別の管理が必要になってくるケースもあります。
しかし、中小企業でこのルールを当て込んでしまうのはやり過ぎです。
例えば、ノートPCやUSBメモリといった情報端末を退勤時に鍵付きキャビネットに保管するルールを作ってしまえば、入退室記録に”キャビネットの施錠確認をしたか?”の項目を追加・チェックするだけで解決できます。
《ケースその2》鍵管理台帳
「鍵管理台帳」とは、事務所や金庫、キャビネットの鍵を誰がいつ持ち出したか、いつ返却したかの記録です。
現場でよく目にするケースですが、こちらもPマーク規格要求事項では求められていない運用です。
(※顧客要求、社内要求、法的要求が該当する場合は除きます)
こちらも、退勤時にキーボックスに鍵を保管するルールを作ってしまえば、
”入退室記録でキーボックスの施錠がされているか”を確認すればOKです。
《ケースその3》審査の為だけの紙媒体運用
「4.Pマークの入退室管理のやり方」 で上述の通り、入退室管理は紙媒体の運用は必須ではありません。
しかし、実際にはそれが知られておらず審査の為だけに紙媒体で記録を取っている企業もあります。
管理会社などから、セキュリティカードのログももらえる場合はそれをそのまま使っても良いのです。
Pマーク審査はまだまだ紙の文化が根付いていますが、時代の変遷とともにデータの利活用も少しずつ認められてきました。
審査の為だけの記録を作るのではなく、今ある環境で使えるものはそのまま使ってみましょう。
6.意外な入退管理の方法
意外な入退管理の方法を1つご紹介します。
それは来訪者管理を”カレンダーで管理する”という運用です。
上述の通り来訪者記録とは、”執務室に部外者が来訪する際、誰がいつ、何の目的で来たかを記録すること”です。
そこでカレンダー(予定)にそれらの情報を事前に記載しておくことで、
そのまま記録として利用することができます。
例えば、Aさんのカレンダーに” ××商事 〇〇様と商談 ■時~△時”と予定があれば
◎月◎日は××商事 〇〇様と商談が■時~△時でありましたという証拠(記録)となり、
事故が起きた際にも、誰が来ていたか把握することができます。
実際に私がコンサルティングさせていただいた企業様で、
「来訪者管理はGoogleカレンダー」をそのまま使いましょうとお伝えし、審査を問題なくクリアしました。
まとめ
入退室管理について、ご理解いただけましたでしょうか。
Pマークのためだけの紙運用はやめて、”自社に適した” ”既に運用している環境”を
そのまま活かしたPマーク運用ができるよう、当社がサポートいたします。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
新規取得・運用別に
役立つ資料をお届けします
新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ