2026年4月6日
目次
もっと見る
「同じフロアにグループ会社が入っているけれど、Pマークって取得できるの?」
そんな疑問をお持ちではないでしょうか。
個人情報保護の重要性がますます高まるなか、Pマークを取得・更新しようとする企業は増えています。しかし、同居環境という特殊な状況では、リスクの把握や審査対応に不安を感じる企業も少なくありません。
この記事では、同居パターン別のリスクと留意点から、現地審査で問われる確認ポイント、さらに契約・物理・技術の3つの視点によるリスク対応策まで、体系的に整理しました。加えて、文書化と運用で押さえるべきポイントや、更新・運用時の注意点、そしてグループ全体での方針整理についても解説しています。
最後までお読みいただくことで、同居環境におけるPマーク取得・運用の実務的な対応策が理解でき、審査員に納得してもらえるための準備が整えられるはずです。個人情報保護体制を強化し、グループ全体の信頼性を高める第一歩を踏み出してください。
1.結論:同じフロアにグループ会社があってもPマークの取得は可能
Pマークの要求事項であるJIS Q 15001には、「同居」を禁止する条項は存在しません。審査で問われるのは、同居そのものではなく、個人情報保護の安全管理が実効的に機能しているかどうか です。
同居によっては、他社からの不正アクセスや会話盗聴などの新たなリスク要因が生じます。そのため、以下の点が審査の焦点となります。
- 同居によって発生するリスクを正しく把握しているか
- そのリスクに対して具体的な安全管理措置を講じ、文書化しているか
- 対策が現場で実際に運用されていることを説明できるか
つまり、取得の可否は「同居の有無」ではなく、リスク認識と対策の実効性によって判断されます。審査員に「リスクを説明し、対策を実行している」と納得させられることが最大のポイントです。
【審査で問われるポイント】
| 審査視点 | 内容 | 重要性 |
|---|---|---|
| リスク把握 | 同居によって発生するリスク(不正アクセス・盗聴など)を認識しているか | 高 |
| 対策の文書化 | リスクに対する安全管理措置を規程や手順に落とし込んでいるか | 高 |
| 実運用 | 文書化された対策が社員によって遵守され、現場で機能しているか | 最重要 |
| 説明能力 | 審査員に論理的に説明し、納得させられるか | 最重要 |
このように、「同居=不可」ではなく、「安全管理の実効性=可否の分かれ目」 という整理になります。
2.同居パターン別に見るリスクと留意点
同じフロアや設備をグループ会社と共有していても、Pマーク取得は可能です。ただし、同居の実態によってリスクレベルは大きく異なるため、自社環境がどのパターンに該当するかを特定し、リスクアセスメントを精緻化することが重要です。
以下に、代表的な同居パターンごとのリスクと審査で問われる留意点を整理します。
(1)完全に同一フロアを共有
【主なリスク】
- 画面覗き見
- 会話・資料の漏洩
- 複合機での誤印刷・放置
- ネットワーク共有によるアクセス不備
【審査で問われる留意点】
- パーテーション等による区分の有無
- 複合機利用履歴の管理
- LANケーブルの物理的引き回し
- 会話内容の管理状況
【必要な対策】
- エリア分離(パーテーション・鍵付きキャビネット)
- アクセス制限の徹底
- 利用ルールの周知
(2)一部のみ共有(受付・会議室など)
【主なリスク】
- 書類放置・盗難
- 来訪者名簿の覗き見
- 会議室利用後の資料・ホワイトボード残置
- 共用エリアでの情報漏洩
【審査で問われる留意点】
- 受付での顧客情報管理方法
- 会議室利用後のチェック体制
- 清掃業者・外部委託者の管理責任の所在
【必要な対策】
- 利用ルールの文書化
- 会議室施錠・清掃後点検
- チェックリスト運用
(3)ネットワーク・サーバーのみ共有
【主なリスク】
- データ分離不十分
- 管理者権限の共通化
- 共有フォルダ・プリンタ設定の曖昧さ
- 誤送信・誤共有
【審査で問われる留意点】
- ACL(アクセス制御リスト)の詳細
- VPN/VLANによる分離の実効性
- サーバー内アクセス権限設定の適切性
- ログ保存・点検記録の提示
【必要な対策】
- 権限管理の徹底
- アクセス証跡の保存
- 定期的なログ点検
同居そのものはPマークの取得を妨げる要因ではありません。重要なのは、同居によって生じるリスクを正しく把握し、その対策を文書化したうえで実際に運用していることを審査員に説明できるかどうかです。
特に審査では「実効性」が重視されるため、単なる形式的なルール整備にとどまらず、現場で社員が遵守していることを示す証跡(例:チェックリストやログ、点検記録など)を提示できることが、取得の可否を左右する大きなポイントとなります。
3.現地審査で問われる主な確認ポイント
現地審査では「対策の有無」だけでなく、境界の明確さと管理責任、そして実運用の証跡が重視されます。
以下に、質問されやすいポイントと必要な準備を整理しました。
【確認ポイントと具体的準備】
| 確認ポイント | 審査での着眼点 | 具体的準備例 |
|---|---|---|
| エリア区分・入退室ルール | 他社エリアと自社の境界が明確か、アクセス制限が機能しているか | フロアマップ(区分図)、入退室権限一覧、施錠エリアの管理者特定 |
| 共用機器の管理責任 | 複合機・ネットワークの管理責任が文書で明確か | 管理責任分担の合意文書、複合機HDD消去手順、アクセスログ管理体制 |
| 共有時のルール定義 | グループ間で個人情報を共有する際の手順があるか | 利用目的・期間・返却/消去を定めた手順書、共同PJ用の合意書 |
| 追加リスクの文書化 | 同居に伴う固有リスクを分析・反映しているか | リスクアセスメントの更新記録、PMS規程・手順への反映差分 |
| インシデント対応フロー | 共用設備で事故が起きた際の連携が明確か | 報告・連携フロー図、連絡先リスト、訓練・机上演習の記録 |
| 実運用の証跡 | 日常運用が継続的に回っているか | 机上確認チェック表、施錠確認記録、アクセスログ点検記録 |
【審査で具体的に問われる内容】
- 区画・アクセスの境界
- 他社エリアと自社エリア、個人情報を扱う/扱わないエリアの区分が可視化され、物理的に管理されているか(パーテーション、施錠、入退室権限)。
- 区分図と管理責任
- フロアマップに境界が示され、各区画の管理責任者が特定されているか。
- 共用設備の管理責任
- 複合機のHDD消去責任、ネットワークのアクセスログ管理責任がどちらの法人にあるか契約・文書で明文化されているか。
- インシデント報告・連携
- 共用設備で発生した事故の報告先、連携フロー、対応時間の目安が定義されているか。
- 情報共有ルール
- 共同プロジェクト等での一時的な個人情報共有について、利用目的・期間・返却/消去方法が手順化され、遵守されているか。
- 追加リスクの反映
- 「同居による不正アクセス・盗難・会話漏洩」などの固有リスクがリスクアセスメントに盛り込まれ、PMS文書(規程・手順書)に具体的対策として落ちているか。
- 実運用の証跡
- 形式ではなく、現場で運用されていることを示す証跡(チェック表、施錠記録、ログ点検記録)が継続的に保管・提示可能か。
【提示すると強い「実運用証跡」の例】
- 机上確認チェック表
- 日々のクリアデスク、書類持出・破棄の確認ログ。
- 施錠確認記録
- 施錠エリアの開閉履歴、鍵管理台帳、権限付与・剥奪の記録。
- アクセスログ点検記録
- ネットワーク/サーバーのアクセス権更新履歴、ログ保存・定期点検の報告書。
- フロアマップの最新版
- 区分変更時の改訂履歴と管理者承認。
- インシデント対応訓練記録
- 報告・連携フローの机上演習や模擬訓練の記録。
4.グループ会社間でのリスク対応策:安全管理の3つの視点で考える
リスクを正しく把握し、契約・物理・技術の3つの視点から対策を講じ、文書化と実運用の証跡提示ができることが審査での鍵となります。
(1) 契約・ルール面(人的対策)
【主な対策】
- グループ各社間でNDA締結
- 同居会社社員への個人情報保護教育(受講記録残す)
- 共同プロジェクト時の情報共有ルールを文書化(授受台帳、利用目的・期間・消去手順)
【審査で問われるポイント】
- 教育範囲がグループ社員にも及んでいるか
- 教育内容がPMSに準じているか
- NDAやルールが同居環境に特化しているか
【証跡例】
- NDA契約書
- 教育記録(受講者名簿、教材)
- 個人情報授受台帳
(2) 物理的対策
【主な対策】
- パーテーションやラック・植栽で区画線を明確化(高さ180cm以上が理想)
- 個人情報を施錠保管し、休日・無人時のアクセス防止
- 入退室管理・施錠チェックリストの運用
- 共用複合機に認証印刷機能を導入
【審査で問われるポイント】
- 区画の境界が明確か
- パーテーションの高さや施錠対象範囲が適切か
- 入退室管理の責任分担が明確か
【証跡例】
- フロアマップ
- 施錠確認記録
- 入退室管理表
(3) 技術的対策
【主な対策】
- ネットワーク・サーバーを物理的または論理的に分離(LAN分離、VLAN+FW)
- サーバーは自社専用、アクセス権限を最小限に設定
- 共有複合機に認証印刷+HDD自動消去機能
- PC画面ロック・データ消去設定を明文化
- ログ管理・アクセス権設定で閲覧制御
【審査で問われるポイント】
- システム構成図やアクセス権管理表が整備されているか
- ログ運用記録が継続的に残されているか
- 技術的分離の実効性があるか
【証跡例】
- システム構成図
- アクセス権管理表
- ログ運用記録
【ポイント】
- 契約・ルール面では、NDAや教育を通じて人的リスクを抑制する。
- 物理的対策では、区画の明確化と施錠管理で物理的リスクを防止する。
- 技術的対策では、ネットワーク分離や認証機能、ログ管理でデータ流出を防ぐ。
これら3つの視点を組み合わせ、文書化と実運用の証跡(契約書、教育記録、チェックリスト、ログ等)を提示できることが審査突破の最大のポイントとなります。
5.文書化と運用で押さえるべきポイント
Pマークの審査は、単なるルールの有無ではなく 「文書と実態の整合性」 を確認する作業です。特に同居環境では例外的な運用が多くなるため、文書化と証跡の整備が極めて重要となります。
同居リスクを管理台帳やリスク分析表に反映し、教育記録や契約書、運用ルールを証跡として保管しておくことが必須です。さらに、審査時には「どこまでが自社管理範囲か」「どのような対策を講じているか」を図面や写真、チェック表を用いて説明できるよう準備しておく必要があります。
特に、文書上のリスク分析と現場での対策が一致しているかどうかが審査員の最大の着眼点となります。
【文書化と運用で確認すべきポイント】
| 項目 | 内容 | 証跡例 |
|---|---|---|
| リスク分析結果 | 同居による不正アクセス・視認・会話盗聴などのリスクを特定し、対策の実施者・時期・評価基準を明記 | リスク分析表、更新履歴 |
| 個人情報台帳 | 保管場所や管理方法を具体的に記載(例:施錠キャビネット、他社社員アクセス不可) | 個人情報管理台帳 |
| 教育・訓練記録 | 同居会社社員も含めた教育実施と記録 | 受講者名簿、教育資料、署名入り記録 |
| 契約書・ルール文書 | NDAや共同業務時の情報授受台帳を整備 | NDA原本、授受台帳 |
| 現場での説明準備 | 区分・管理方法を明確に説明できる状態にしておく | フロアマップ、写真、チェックリスト |
| 整合性確認 | 文書上のリスク分析と現場対策が一致しているか | 点検記録、審査用説明資料 |
6.Pマーク更新・運用時の注意点
Pマークは取得して終わりではなく、環境変化に応じて継続的に改善・更新することが求められます。特に同居環境では、グループ会社の入退去やレイアウト変更などによってリスクが変化するため、文書や運用を常に最新の状態に保つことが重要となってきます。
【更新・運用時に押さえるべきポイント】
| 項目 | 内容 | 証跡・準備例 |
|---|---|---|
| PMS文書の改訂 | グループ会社の入退去やレイアウト変更があった場合、直ちに「リスク分析」「フロアマップ」「物理的対策手順」を改訂 | 改訂版PMS文書、フロアマップ更新履歴 |
| NDAの有効性確認 | 社名変更・事業内容変更・契約満了などを定期的に確認し、機密保持契約の有効性を維持 | NDA更新記録、契約管理台帳 |
| リスクアセスメント再実施 | 同居会社の事業内容変更や設備変更などでリスク要因が変化した場合、再度リスク分析を行い、対策を見直す | リスク分析表、再評価記録 |
| 改訂記録の管理 | 文書更新やリスク再評価の履歴を「改訂記録一覧」として管理し、審査時に提示できるようにする | 改訂記録一覧、改善履歴台帳 |
【ポイント】
- 環境変化に応じてPMS文書を速やかに改訂することが必須
- NDAの有効性を定期的に確認し、契約を最新状態に保つことが重要
- リスク要因が変化した場合は必ずリスクアセスメントを再実施し、対策を見直す必要がある
- 更新履歴を「改訂記録一覧」として管理することで、審査時に継続的改善の証跡として評価される
7.グループ全体での運用方針を整理する
Pマークの運用効率を高めるためには、グループ全体での個人情報保護方針を整理・共通化することが有効です。親会社や統括会社が上位方針を定め、各社がそれを基盤にローカルルールを適用することで、統一感と説明責任を強化できます。
ただし、取得形態によって管理のアプローチは異なり、それぞれにメリットと留意点があります。
【取得形態ごとの特徴と留意点】
| 取得形態 | 特徴 | 留意点 |
|---|---|---|
| 各社が個別にPマークを取得(推奨) | ・会社単位で独立した管理が可能 ・自社環境に合わせた独自の管理策を適用できる ・ 審査は各社ごとに実施 | ・境界の明確化が必須 ・責任分担を文書で明文化する必要あり |
| グループ一体でPマークを取得(限定的) | ・管理ルールを統一化できる ・グループ全体で一貫した方針を示せる | ・ 親会社が子会社の業務遂行に完全責任を負う必要あり ・現地審査は子会社を含む全体が対象 ・一部運用が形骸化するリスクに注意 |
【ポイント】
- グループ全体で共通方針を設けることで、統一感と説明責任を強化できる
- 各社個別取得は責任主体が明確になり、環境に応じた柔軟な管理が可能(推奨)
- 一体取得は統一性を高められるが、責任範囲が広く運用難易度が高い
- グループ経営方針や情報共有ポリシーと整合性を取ることで、文書作成やルール徹底がスムーズになる
8.まとめ
本記事ではPマーク取得企業が、同じフロアにグループ会社と同居する場合の対応策について解説しました。要点を整理しておきましょう。
【同居環境とリスク】
- 同じフロアにグループ会社が存在しても、Pマーク取得は可能
- 重要なのは「同居そのもの」ではなく、リスクを把握し、対策を講じているかどうか
- 完全共有/一部共有/ネットワーク共有など、同居パターンごとにリスクが異なるため、適切な区分と管理が必要
【現地審査で問われるポイント】
- エリア区分や入退室ルールの明確化
- 共用設備(複合機・ネットワーク)の管理責任の所在
- グループ間での情報共有ルールの定義
- 文書化されたリスク分析と現場運用の整合性
【リスク対応策(3つの視点)】
- 契約・ルール面(人的対策): NDA締結、教育記録の整備、情報授受ルールの文書化
- 物理的対策: パーテーションや施錠管理、入退室チェックリストの運用
- 技術的対策: ネットワーク分離、アクセス権限管理、ログ保存・監視
【文書化と運用】
- 管理台帳やリスク分析表に「同居リスク」を反映
- 教育記録・契約書・チェックリストなどを証跡として保管
- 文書と現場の整合性を審査員に説明できるよう準備
【更新・運用時の注意点】
- グループ会社の入退去やレイアウト変更時は速やかにPMS文書を改訂
- NDAの有効性を定期確認
- リスク要因が変化した場合はリスクアセスメントを再実施
- 改訂履歴を「継続的改善の証跡」として管理
【グループ全体での運用方針】
- グループ共通の個人情報保護方針を設けることで効率化
- 各社個別取得は責任主体が明確で柔軟性が高い(推奨)
- 一体取得は統一性を高められるが、責任範囲が広く運用難易度が高い
同居環境でのPマーク取得は「不可」ではなく、リスク認識と対策の実効性が審査の焦点です。契約・物理・技術の3つの視点から対策を講じ、文書化と証跡整備を徹底することで、審査員に納得感を与えられます。
さらに、環境変化に応じた継続的改善と、グループ全体での方針整理が、安定した運用と効率的な取得につながります。本記事を参考に、同居環境でのPマーク取得・運用をスムーズに進めていただければ幸いです。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
Pマーク(プライバシーマーク)・ISOの認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービス紹介資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・当社の『サポート費用・内容』
- ・取得までの『スケジュール』
- ・コンサル会社を選ぶ際の『ポイント』
- ・認証パートナーと『他社との違い』
- ・お客様のお声
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.