近年、コロナ禍をきっかけに、リモートワークに対して柔軟な対応を行う企業も増えつつあります。そこで疑問となることが、プライバシーマーク(Pマーク)を取得した企業の場合、「在宅勤務できるのか?」という点です。
そこで、この記事では
- Pマークを取得した会社は、在宅勤務ができるのか知らない
- 在宅勤務を行うまでの手順を理解していない
- 在宅勤務にした場合、Pマークの審査はどうなるのか気になる
という方に向けて、Pマークを取得した会社が在宅勤務をする際の手順や、在宅勤務を行っている場合の、Pマーク審査の概要について紹介します。
しっかりと手順を踏めば、Pマークを取得した会社でも在宅勤務を行うことができます。
次の項目から、ポイントをひとつずつ確認していきましょう。
目次
Pマークを取得した会社は在宅勤務できる?
まずはじめに、Pマークを取得した会社は在宅勤務をできるのか、ということについて解説します。
結論から申し上げますと、Pマークを取得していても、在宅勤務は可能です。
個人情報の保護を確保するために、情報の取り扱いに関するルールを、社内で定めて実施していれば、Pマークを取得した会社でも在宅勤務を行うことができます。
簡単な例ですが、例えば社員が出張する際に、社外でメールのやり取りをする仕組みがあると思います。
その仕組みを在宅勤務する社員に横展開すればいいのです。
情報セキュリティという観点から見れば、出張よりも場所が限定される在宅勤務の方が容易と言えます。
- 設備が全社員分ない
- メールはできても業務システムが使えない
こういった声もあるでしょう。
しかし、一部の社員・業務から始め、少しずつ人と業務の範囲を広げていけばいいのです。
そのため、Pマークを取得していても、在宅勤務は可能であると言えます。
Pマークを取得した多くの会社が在宅勤務をしている
これまでに多くの会社が、コロナ禍への対応として在宅勤務を制度を適用し、実施しています。
その中には、PマークやISMS認証を取得した会社もあります。
具体的には、次のような会社です。
- GMOインターネット(ISMS取得済み)
- ヤフー(ISMS取得済み)
- NTT東日本(ISMS取得済み)
- コロプラ(ISMS取得済み)
- NEC(Pマーク、ISMS取得済み)
- Hamee(Pマーク取得済み)
このようにPマークやISMSを取得していても、在宅勤務は可能です。
Pマークを取得した会社が在宅勤務を行うまでの手順
次に、在宅勤務を行うまでの手順について解説します。
手順は次の通りです。
- 関連法令を遵守するために必要となる在宅勤務で取り扱う個人情報の把握
- 1で把握した個人情報についてのリスク分析
- リスクに対する対策を考えることによってルール(指針)として定める
- ルールの実施に必要なものを準備する
- 在宅勤務を行う社員にルールを周知する
- 在宅勤務・ルールを実施する
- ルールが十分に守られていることを確認し、必要に応じて修正する
それぞれの業務に合わせて生じるリスクを分析し、適切にルールを実施しましょう。
在宅勤務を行うことで生じる注意点には、以下のようなものが考えられます。
- 自宅のネットワーク(Wi-Fi)環境からウイルスに感染する
- セキュリティ対策不足によってウイルスに感染する
- 個人情報の入ったPCの紛失・盗難
これらのリスクを回避するためには、以下の3点を守りましょう。
- 自宅のネットワークからの接続時には、Wi-Fiのファームウェアを最新化する
- 会社貸与PCのOSセキュリティパッチ・ウィルス対策ソフトを最新化する
- 会社貸与PCを利用しての仕事は、自宅以外ではしない
また、在宅勤務を行う社員全員が、あらかじめ会社側で作成した、在宅勤務のルールをしっかりと把握していることも重要です。
eラーニングや社内研修を推進するための組織・体制(管理者など)を構築し、従業員に対して在宅勤務のルールを徹底して教育しましょう。
在宅勤務のルールの代表的なものとして、個人情報の取扱いや、会社から貸与されたデバイスの管理および利用方法などがあります。
さらに、社員1人1人の意識の向上やルールの周知のために、定期的にルールが守られていることを必ず確認してください。
これは、Pマークでの「運用の確認」にあたるものです。
セルフチェックやアンケートによって、ルールが適切に実施されていることを社員1人1人に確認し、必要に応じて修正しましょう。
在宅勤務にした場合のPマークの審査
最後に解説するのは、在宅勤務に切り替えた場合のPマークの審査についてです。
Pマークの審査には2つあり、文書審査と現地審査の両方を受ける必要があります。
2つのうちの現地審査は、会社に審査員が実際にやってきて行われる審査です。
ここでは、
- 一部在宅勤務の場合
- 完全在宅勤務の場合
の2つに分けて解説します。
なお、新型コロナウイルスの感染拡大により、リモート審査の導入が試行されてきました。
そしてJIPDEC(一般財団法人日本情報経済社会推進協会)から発表された文書が、「現地審査の実施が著しく困難な場合の現地審査の代替措置の実施基準」です。
JIPDECという組織の目的を簡単に紹介すると、以下の2つがあります。
- 情報セキュリティ関連の標準やガイドラインの検討・公表
- 情報セキュリティに関する研究・調査、最新の情報セキュリティの脅威や対策についての知見の提供
この発表文書によると「感染症などにより現地審査の実施が著しく困難であるとJIPDECが判断した場合」には、遠隔審査(リモート審査)の実施が認められるとあります。
そのため事例によっては、現地審査がリモートで行われることがあるでしょう。
一部在宅勤務の場合
1つ目は、一部の業務を在宅勤務によって行っている場合の審査です。
この場合、個人情報を扱っている業務がどこで行われているかによって、審査の場所が異なります。
例えば、経理や総務などの業務を会社で行い、それ以外の業務を在宅で行っている会社の場合について説明しましょう。
個人情報を取り扱っているのは、会社で行っている業務であると考えられるので、会社で審査が行われます。
そのため、現地審査が行われる際は、個人情報を取り扱う業務の担当者が会社に出社して対応しなければなりません。
しかし、個人情報を取り扱う業務を在宅で行っている場合、完全在宅勤務と同じように自宅で現地審査が行われることがあります。
完全在宅勤務の場合
2つ目は、オフィスを持たず、完全在宅勤務を行っている場合の審査です。
この場合、個人情報が取り扱われる場所として、代表者の自宅等で現地審査が行われます。
具体的な場所は会社によって異なるので、気になる場合は事前に審査機関に問い合わせてみましょう。
まとめ
この記事では、Pマークを取得した会社の在宅勤務について解説しました。
Pマークを取得していても、ルールを作成・実施すれば在宅勤務を行うことができます。
定期的に、ルールが適切に実施されていることを確認するようにしましょう。
オプティマ・ソリューションズでは、プライバシーマーク取得を徹底的にサポートいたします!
弊社では数多くのお客様のPマーク取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからPマークを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
