パソコンの個人情報管理とPマーク審査で求められること

Pマーク取得には個人情報管理の徹底が重要視されており、パソコンの扱いについてシビアにチェックすることになります。

パソコンには顧客情報や個人情報が詰まっており、パソコンをロックしなかったがために第三者に中身がみられてしまったり、データが盗まれてしまったことで情報漏えいしてしまうトラブルが発生します。
このような事態は企業や組織にとって絶対に許されないことであり、社会的責任や信用問題に繋がります。
また、ログインするためのIDやパスワードなどの識別情報も漏洩してしまうとさまざまな情報にアクセスできてしまうため、これらも含め、流出を防ぐためのガイドラインに則って運用をする必要があります。

この記事では、PCの情報漏えいリスクとこれに関連するPマーク審査で求められることについて解説します。

PCにはロックをかけているか？

仕事で個人情報を含む様々なデータを管理するためにPCを使う会社も多いと思います。そのデータの中には、社外に流出したりすると大問題になるようなデータも入っていることでしょう。

企業は、このPCの中に入っているデータを第三者に絶対に見られないように対策しておく必要があります。例えば、社員が昼休憩に行っている間にたまたま打ち合わせのために来社した取引先の目にデスクトップに映った顧客データが目に入ってしまったら……。例えば、他の社員が会社のブログ用に撮影した写真の中にデスクトップの画面が映っていて、それがインターネット上にアップロードされてしまったら……。

Pマークでは、このような情報流出が発生しないように、一定期間操作されない状態が続くとPCがロックされるかどうかということが調査されます。

PCの持ち運び管理

最近はどんどんIT化が進んでいますから、ノートパソコンを持って取引先との打ち合わせに臨んだり、USBにデータを保存して持ち運びをしたりする機会は増えています。社内ならある程度情報が流出しないように管理することもできますが、情報の塊であるPCを社外に持ち運ぶことでリスクは急激に高まります。

例えば、

• PCの入ったカバンを電車の荷台に置いてしまい、カバンを取らずに電車を出てしまう
• 飲み会に会社のPCを持って行ってしまい、盗難に気づかず帰宅してしまう

こんなことが考えられるわけです。こうなってしまっては、情報流出は待ったなし。このため持ち運び可能なPCがどのように管理されているのかということもチェックされることになります。

• 持ち運びできるノートPCは使わない時、鍵付きの棚などに収納する
• テプラシールなどで誰がどのPCを使っているのか管理する。

このように、情報が流出することがないようにしっかり対策されていることが求められるのです。

識別情報の管理

識別情報とは、IDやパスワードなどのことを指し、情報にアクセスするために必要なもののです。IDやパスワードは漏えいすると様々な情報流出につながるため、ガイドラインに則って運用する必要があります。

この識別情報の管理は、JISQ15001:2006をベースに一部改定したことで、ルールが変わりました。変更点およびガイドラインの詳細は以下の通りです。

旧ガイドライン

新ガイドライン

変更点としては、定期的なパスワードの変更がなくなったという点と、複数のサービスで同一のパスワードを使い回さないようなルールになっていることです。Pマークの基本的な考え方は「情報が漏えいしない仕組み」というよりも、「情報が漏えいしにくい仕組み」ですから、一つのパスワードが流出したとしても被害を最低限に抑えられるようなルールが好ましいということなのでしょう。

まとめ

Pマークの取得には、プライバシー管理の徹底が重要視されています。特にPCは情報端末であり、いわば顧客情報の塊。管理しておかなければ社会的信用を損なう情報漏えいに繋がってしまう可能性がとても高いのです。

ちょっとしたミスが情報漏えいにつながる可能性がありますので、顧客情報やデリケートなデータを扱う企業としては、少しでもその可能性をへらすような対策・管理をしておく責任があります。注意しましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。