新型コロナウィルスの感染拡大を受けて、政府は全国の事業者に対して従業員の在宅勤務・リモートワーク・テレワーク(以下、「テレワーク」と総称します)の実施を推奨しています。
今後の働き方の一つとして、注目されるテレワークですが、今回の記事では、そもそも「テレワークを導入している企業でもPマークは取得できるのか?」について紹介します。
テレワークでもPマークは取得できるのか?
ズバリ、テレワークを導入している企業であっても、Pマークは取得できます。
ただ、Pマークは個人情報保護の体制が整っている企業に与えられるものなので、テレワークでも、個人情報の保護が図れていなければなりません。言い換えると、テレワークでも個人情報を適切に取り扱うことができるルールを定める必要があります。
具体的な取り組みについて
では、具体的にどのようなルールを定める必要があるのでしょうか?
これは、テレワークを行う際に起こり得る事態を想像しながら、決めていくとよいです。
ネット環境を整える
テレワークの際に接続するネット環境はしっかりと保護されたものでなければ、業務で取り扱う個人情報が流出してしまうということが考えられます。
そこで、ネット環境は、VPNを用いる、WPA2以上のWi-Fi通信を用いる、そもそも家族を含め他人と共有のネットワークを使用しないなどのルールを定めることが望ましいです。
カフェなどの無料Wi-Fiには接続しないなどのルールを作成しておくことも有効です。
外で仕事をするときは背後に注意する
テレワークでは自宅のほか、カフェやコワーキングスペース、新幹線の車内など様々な状況で業務を行うことが考えられます。
もしかすると、悪意のある人がPCを盗んだり、画面を覗き見たりする可能性もあります。
そこで、仕事で用いるPCには、覗き見防止フィルターを付ける、ちょっとした離席時も肌身離さず持ち歩くといったことなどをルールとして設けることが望ましいでしょう。
PCログ管理ツールを活用する
従業員同士が同じ場所にいないテレワークでは、従業員のPCが不正アクセスをうけていないかという点を確認するためにPCの動作ログなどを定期的に確認するという仕組みを作ることもおすすめです。
紙の書類の取り扱いルールを決める
紙に記載してある個人情報を取り扱う場合があれば、紛失や盗難といった事態が考えられます。このような個人情報については自宅であっても、鍵付きの引き出しや棚で保管するというルールを決めておくとよいでしょう。
思い切って、紙での個人情報の取扱いはしないという企業もあります。
そして、これらのルールがしっかり守られているか、また効果的なものかを定期的に確認することも個人情報について適切な取扱いをしていくためには重要です。
- 確認方法の例
- Web会議ツールや電話等を利用してインタビュー(ヒアリング)形式で実施し、可能であればサイトツアー(PCカメラ等で実際の現場を写して共有)を実施。
- PC利用のルールについては、遠隔操作で設定やアクセスログを確認できるようにしておく。
審査について
Pマークを取得するためには、文書審査と現地審査という2種類の審査を受ける必要があります。このうち、現地審査とは個人情報を扱う業務が実際に行われている場所に、審査員の方がやってきて行われる審査です。
一部リモート導入している企業の場合
例えば、総務や経理といった業務はオフィスで行い、その他の業務は在宅で行うなど一部でリモートワークを導入している企業では、総務や経理において個人情報が取り扱われている場合が想定されるので、多くの場合、オフィスで現地審査が行われます。
そのため、現地審査のときは、個人情報の取扱い担当者の方などが出社して対応する必要があります。
※テレワーク実施先(自宅など)で個人情報の取り扱いをしている場合は、自宅で現地審査が行われる可能性もあります。
オフィスを持たないフルリモート企業の場合
個人情報が取扱われている場所として、多くは代表者の自宅などで現地審査が行われます。
具体的な場所は企業ごとに異なるところなので、心配な方は事前に審査機関に相談してみるとよいでしょう。
まとめ
テレワーク導入企業がPマークを取得するために気を付けることとしては、作成するルールと審査について少し工夫が必要ですが、それ以外の部分ではテレワークを導入していない企業がPマークを取得する場合と変わりはありません。
ウェブ会議ツールやチャットツールを利用したフルリモートコンサルティングを実施している情報セキュリティコンサルティング会社もありますので、
- フルリモートでPマーク取得を支援してくれるコンサル会社を探している
- テレワークに特化したセキュリティルール構築を支援してほしい
といった企業様は、一度フルリモートでのコンサルティングをご検討してみてはいかがでしょうか。
