Pマーク取得企業のUSB管理方法とは？賢い管理術を解説

みなさんは普段どのようにUSB（USBメモリ）の管理をしていますか？
USBは、手のひらサイズで持ち運びに便利な一方で、紛失や盗難など様々なリスクを持ち合わせています。
現在はクラウドなどの普及により、USBを使用する機会は以前ほど多くありませんが、0ではありません。

Pマーク（プライバシーマーク）の取得においては、このUSBの管理を適切に行えているかどうかが大切なポイントの一つになります。
この記事を読み終えていただければ、様々なリスクを考慮したうえでUSBの管理ができるようになるでしょう。

USBのリスクや、安全に管理するルールなどを実際に確認していきます。

1.USB使用における個人情報保護の管理の重要性

Pマークの取得においてUSBの適切な管理は、「個人情報保護」の観点において重要であり、避けては通れません。

Pマークの要求事項 JISQ15001には、「事業者は、その取り扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じなければならない。」と記載があります。（引用：JIS Q 150013.4.3.2　安全管理措置）

そのためUSB使用に伴うリスクを把握し、それを回避するための具体的な安全管理措置を策定することが、個人情報保護の実現に繋がります。実際の運用をイメージしながら対策を講じることが重要です。

2.気を付けるべきUSB使用時のリスク

USB取扱い時のトラブルで上位にくるのが、紛失です。Pマーク付与事業者の事故報告においても「紛失・盗難」は報告件数の上位を占めています。そのほかにも、従業員のうっかりミスから悪意ある第三者による盗難まで、様々な状況でのリスクがあります。

（1）外出先や移動中の紛失

上着のポケットなどに入れていたUSBメモリを脱ぎ着したときに落としてしまう
電車の網棚、訪問先のトイレなど、少し目を離した隙にそのまま置き忘れる

（2）オフィス内での紛失

「後でやろう」と所定の場所以外に一時的に置いたまま忘れる
誤って他の書類と一緒に捨ててしまった

（3）盗難の被害

飲食店で席にカバンを置いたまま離れたところで盗まれた
出社したらPCごと消えていた。夜間に盗まれていた

（4）データそのものに関するリスク

廃棄したつもりのUSBメモリを専用ソフトで復元され、情報が漏れてしまった
知人だからと貸し借りしたところデータが丸ごとコピーされていた

USBメモリに関するリスクは、些細な不注意から悪意ある犯罪まで非常に幅広いことがわかります。だからこそ、万が一の事態を想定した組織としての明確なルールを定めて運用していくことが不可欠です。

3.Pマークが求める安全管理措置には細かい基準はない

「Pマークを取得するためには、USBメモリの使用を全面的に禁止しなければならない」と考える方もいらっしゃいますが、これはよくある誤解の1つです。

Pマークの審査基準であるJIS Q 15001にも、「USBを使用してはならない」といった具体的な禁止事項は書かれていません。細かいルールは定められておらず、自分たちの会社の事業や業務形態に合わせたリスクに応じて適切なルールが運用されていれば問題ないという姿勢をとっています。そのため具体的な管理ルールについては自社で自由に決めることができます。

守れないような禁止ルールを作るのではなく「情報漏洩しにくいルール作り」をするのがPマークの取得や運用において必要です。

4.Pマーク取得企業の安全なUSB管理ルール

では、具体的にどのようなルールを定めることでPマークが求める漏洩しにくい体制を築くことができるのでしょうか。その答えは1つの完璧なルールに頼ることではなく、USBの購入から利用、保管、廃棄まで、それぞれの段階にあわせて対策を組み合わせることが重要です。

（1）USBの購入から支給まで

まずは、モノの入口をしっかり管理するところから始めます。

個人が所有するUSBメモリの業務利用や、部署判断での安易な購入を禁止します。管理部署を1つに定め、その部署が責任をもってセキュリティ機能の高いUSBを一括購入、管理をします。
社員へ支給する際も、大きなタグや鈴などをつけて物理的な紛失をしにくくするというひと工夫も大切です。

（2）実際に使用するとき

USBメモリを実際に現場で使う場面では従業員1人1人の意識が問われます。
持ち出す前にこのデータが本当に必要か、最小限の情報になっているか、保存データが暗号化されているかを確認してもらいます。パスワードの使いまわしも禁止です。
どんなに親しい同僚でも会社管理のUSBメモリを貸し借りすることはいけません。
誰が、いつ、どの情報を扱っているのかを常に明確にしておくこともおすすめです。

（3） 持ち運びや保管

最も事故が起きやすいオフィス外は、さらにUSBの取り扱いに注意が必要です。
個人情報が入ったUSBメモリを持ち歩いている際は、寄り道をしないようにしましょう。
特にお酒が入る場への持ち込みは、紛失リスクを高めてしまいます。

USBの保管には所定の置き場所を設定しましょう。
一日の終わりには必ず所定の場所へ戻すようにします。鍵付き保管庫で管理するとさらに安全です。この習慣を根付かせ、机の上に置きっぱなしということがないようにしましょう。

（4）廃棄

USBはデータを削除しただけでは復元のリスクが残ってしまいます。
一番確実なのはハンマーで叩き割るなどして物理的に破壊してしまうことです。
それが難しい場合は専門のデータ消去ソフトを使ったり、信頼できる廃棄業者に依頼をしてみるのも手です。

このように、USB購入から廃棄までの一連の流れのルールを設けることが安全管理の第一歩です。そしてルールを作るだけでなく、従業員に周知をして「自分事」として理解してもらうことで、情報漏洩のリスクをさらに下げることができます。

また個人情報の管理を安全かつ継続的に行うために、管理体制のアップデートは欠かせません。定期的な見直しの他に、法令等の改正時も見直しの良いタイミングです。

5.万が一に備えたルールも必要

どんなに注意をしても、情報漏洩の可能性をゼロにすることはできません。そのため、万が一の事態を想定した対応ルールを決めておくこともPマークが求める重要な安全管理措置です。

漏洩が発覚した際は、速やかに上司へ報告するとともに社内ルールに従って対応します。
企業としては、遠隔で端末ロックをしたり、ネットワークアカウントを停止したりすることで被害の拡大を防ぎます。
また、状況に応じて個人情報保護委員会やPマーク審査機関等への報告も必要になります。

これらの対応を迅速かつ的確に行うことが、万が一の際の被害を最小限に食い止め、企業のダメージを抑えることに繋がります。

6.まとめ

USBは価格も安く、手軽に持ち運べて大変便利なものです。
しかし、Pマークの下でUSBを使用する際は、情報が漏洩しにくいルールを作り出し、安全にUSBの管理をする必要があります。
具体的なルールを決めたら社員へ周知し、会社全体で安全なUSBの使用を定着させましょう。