プライバシーマークを取得している会社がテレワークを実施する際の手順

この記事は約5分で読めます。
2021.01.13

はじめに

新型コロナウイルスが流行し、まだ終息の気配は一向に見えませんが、多くの会社がテレワーク・在宅勤務・リモートワーク(以下、テレワーク)の導入を始めたかと思います。

他にも、以前から導入していた会社、導入していないが近々導入予定の会社など様々だと思いますが、この記事では、プライバシーマーク(以下、Pマーク)を取得している会社がテレワークを導入するとなった際に何をどのような手順で行っていけばいいのかということについて解説していきます。

また、弊社では、テレワークを導入する際の従業員教育に役立つ教材を無料でご用意しております。ぜひ本記事と併せてご活用ください。

今なら「セキュリオ」の教材が無料で手に入る!
在宅勤務を実施する際に注意したいこと
テレワーク初心者必見9つの基本的なセキュリティ対策はこちら

Pマークを取得している会社はテレワークできる?

そもそもPマークを取得している会社はテレワークをすることができるのでしょうか。

結論から申し上げると、取り扱う個人情報の保護が図れる社内ルールを定めて運用していれば、Pマークを取得している会社であってもテレワークをすることはできます

具体的な内容は下記でご説明しますが、テレワークを導入するためには、リスクを洗い出し対策を立てること、それをルール化し従業員に周知することやその確認といったことが必要となります。

弊社のコンサル事例で恐縮ですが、こちらの企業様はテレワークとPマークの両立を果たしていらっしゃいます。

株式会社RevComm様 – 顧客事例 – | ISMS/ISO27001認証取得コンサルティング
“コミュニケーションの再定義”をコンセプトとしたクラウドサービスを開発・提供する株式会社RevC...
www.lrm.jp

テレワークをする手順

では実際にテレワークをするためにはどのような手順を踏めばいいのでしょうか。
明確な決まりはありませんが、下記のような手順で行っていけばPマーク上必要な事柄が網羅できます。

  1. どのようにテレワークをするのか考える
  2. 1を行う上で生じるリスクを洗い出す
  3. 洗い出したリスクへの対策を考える
  4. 考えた対策を社内ルールとしてマニュアルに落とし込む
  5. 定めたルールを従業員に周知する
  6. (試験的にテレワークを行う)
  7. 実際にテレワークを導入する
  8. 実施後に定期的な確認を行う

1~4はまとめて考えます。

例えば、「社用PCを自宅に持ち帰って自宅のWi-Fiで業務を行う」という方法を導入するのなら、生じるリスクの一つとして「自宅のネットワーク環境からウイルス感染する」というのがあります。
それに対し「自宅のWi-Fiは必ず、パスワードがかかったものでかつ初期パスワードから変更されているものを使用する」という対策を立て、それを社内ルール化します。

こういったことを、定めた方法ごとに行っていきます。
一例ですが、他に導入すべき項目として、クラウドサービスの利用の有無・BYODの導入 の有無・情報の持ち出しの有無 ・紙媒体の取扱い方法といったものが挙げられます。

また、ここでの2と3は、Pマークを運用する上で必ず行う、リスクアセスメントに該当する箇所となります。
5は4で定めたルールを従業員に周知する、いわゆる従業員教育を行います。周知方法としては、社内研修をするかeラーニングを行うことが一般的ですが、テレワークで一部あるいは全従業員が在宅していることを考えると、場所・時間を問わず実施できるeラーニングを行うことが望ましいです

6と7で定めたルールを基に実際に導入します。ここで、いきなり導入してもいいのですが、課題を見つけるための期間として試験的に一部社員にだけ行うといったこともおすすめです。

これで社内ルールを定め無事導入できたので終わり、ではありません。
8にあるように、実施後従業員がきちんと定めたテレワークルールを継続して守っているかチェックすることも必要となります。
これはPマークでいう「運用の確認」にあたるところです

実施方法としては、テレワーク体制ということを考えるとセルフチェックが望ましいと言えます。セルフチェックの具体的な方法として、定期的に情報セキュリティ管理者が周知すること、ルール通りに行っているかという内容を盛り込んだ社内アンケートを配ること等が考えられます。

また、Pマーク取得に際して、はじめの検討段階から審査当日までの一連の流れを21項目のTodoリストにいたしました。ぜひ無料でDLして貴社の取得にお役立てください。

Pマーク取得までの21項目を把握する

テレワークを導入した場合Pマークの審査はどうなる?

ここまで実際に導入するための手順を解説してきましたが、では実際にテレワークを導入すると、Pマークの現地審査はどこで行われるのでしょうか。これは、テレワークを行っている部署が一部なのか全社的なのか、また、その部署が個人情報を取り扱っているのかどうかで変わってきます。

詳しくは弊社の別記事、「テレワーク導入企業がPマークを取得するためには?」の「3.審査について」に記載されていますのでこちらをご参照ください。

テレワーク導入企業がPマークを取得するためには?
新型コロナウィルスの感染拡大を受けて、政府は全国の事業者に対して従業員の在宅勤務・リモートワーク...
www.lrm.jp

さいごに

新型コロナウイルスが終息する気配は残念ながらあまり見えません。そのためテレワーク体制が長期化する可能性も十分にあります。

本記事はPマーク取得企業に焦点を絞った話をしていますが、Pマークを取得していなかったとしても、上記にあげたような手順を行うことは漏えいするリスクを最小限に抑えるためにも非常に有効です。

この記事を見て、手順に沿ったテレワークを実施いただき、既に手順に沿った方法を取っている会社は見直す機会になれば幸いです。

また、弊社では、貴社のテレワーク導入をお手伝いするコンサルティングを行っております。まずはお気軽にご相談ください!

Pマークのルールにも対応!
テレワークのセキュリティ構築コンサルティング実施中!
お気軽にご相談ください。
認証取得を目指すPマーク
タイトルとURLをコピーしました