プライバシーマーク(Pマーク)を取得した企業の場合、「在宅勤務できるのか?」という疑問がありますよね。
そこで、この記事では
- Pマークを取得した会社は、在宅勤務ができるのか知らない
- 在宅勤務を行うまでの手順を理解していない
- 在宅勤務にした場合、Pマークの審査はどうなるのか気になる
という方に向けて、Pマークを取得した会社が在宅勤務をする際の手順や、審査について紹介します。
しっかりと手順を踏めば、Pマークを取得した会社でも在宅勤務を行うことができます。
次の項目から、ポイントをひとつずつ確認していきましょう。
目次
Pマークを取得した会社は在宅勤務できる?
まずはじめに、Pマークを取得した会社は在宅勤務をできるのか、ということについて解説します。
結論から申し上げますと、Pマークを取得していても、在宅勤務は可能です。
個人情報の取り扱いに関するルールを、社内で定めて実施していれば、Pマークを取得した会社でも在宅勤務を行うことができます。
簡単な例ですが、例えば社員が出張する際に、社外でメールのやり取りをする仕組みがあると思います。
その仕組みを在宅勤務する社員に横展開すればいいのです。
情報セキュリティという観点から見れば、出張よりも場所が限定される在宅勤務の方が容易と言えます。
- 設備が全社員分ない
- メールはできても業務システムが使えない
こういった声もあるでしょう。
しかし、一部の社員・業務から始め、少しずつ人と業務の範囲を広げていけばいいのです。
そのため、Pマークを取得していても、在宅勤務は可能であると言えます。
Pマークを取得した多くの会社が在宅勤務をしている
これまでに多くの会社が、コロナ禍への対応として在宅勤務を実施しています。
その中には、PマークやISMS認証を取得した会社もあります。
具体的には、次のような会社です。
- GMOインターネット(ISMS取得済み)
- ヤフー(ISMS取得済み)
- NTT東日本(ISMS取得済み)
- コロプラ(ISMS取得済み)
- NEC(Pマーク、ISMS取得済み)
- Hamee(Pマーク取得済み)
このようにPマークやISMSを取得していても、在宅勤務は可能です。
Pマークを取得した会社が在宅勤務を行うまでの手順
次に、在宅勤務を行うまでの手順について解説します。
手順は次の通りです。
- 在宅勤務で取り扱う個人情報の把握
- 1で把握した個人情報についてのリスク分析
- リスクに対する対策をルールとして定める
- ルールの実施に必要なものを準備する
- 在宅勤務を行う社員にルールを周知する
- 在宅勤務・ルールを実施する
- ルールが守られていることを確認し、必要に応じて修正する
それぞれの業務に合わせて生じるリスクを分析し、適切にルールを実施しましょう。
在宅勤務を行うことで生じるリスクには、以下のようなものが考えられます。
- 自宅のネットワーク環境からウイルスに感染する
- セキュリティ対策不足によってウイルスに感染する
- 個人情報の入ったPCの紛失・盗難
リスク対策としては、「パスワードを初期設定から変更する」「自宅以外で仕事をしない」といったものが挙げられます。
また、在宅勤務を行う社員全員が、ルールをしっかりと把握していることも重要です。
eラーニングや社内研修を行い、従業員教育を行いましょう。
さらに、社員1人1人の意識の向上やルールの周知のために、定期的にルールが守られていることを確認してください。
これは、Pマークでの「運用の確認」にあたるものです。
セルフチェックやアンケートによって、ルールが適切に実施されていることを確認し、必要に応じて修正しましょう。
在宅勤務にした場合のPマークの審査
最後に解説するのは、在宅勤務に切り替えた場合のPマークの審査についてです。
Pマークの審査には2つあり、文書審査と現地審査の両方を受ける必要があります。
2つのうちの現地審査は、会社に審査員が実際にやってきて行われる審査です。
ここでは、
- 一部在宅勤務の場合
- 完全在宅勤務の場合
の2つに分けて解説します。
なお、新型コロナウイルスの感染拡大により、リモート審査の導入が試行されてきました。
そしてJIPDECから発表された文書が、「現地審査の実施が著しく困難な場合の現地審査の代替措置の実施基準」です。
それによると「感染症などにより現地審査の実施が著しく困難であるとJIPDECが判断した場合」には、遠隔審査(リモート審査)の実施が認められるとあります。
そのため状況によっては、現地審査がリモートで行われることがあるでしょう。
一部在宅勤務の場合
1つ目は、一部で在宅勤務を行っている場合の審査です。
この場合、個人情報を扱っている業務がどこで行われているかによって、審査の場所が異なります。
例えば、経理や総務などの業務を会社で行い、それ以外の業務を在宅で行っている会社の場合についてです。
個人情報を取り扱っているのは、会社で行っている業務であると考えられるので、会社で審査が行われます。
そのため、現地審査が行われる際は、個人情報を取り扱う業務の担当者が会社で対応しなければなりません。
しかし、個人情報を取り扱う業務を在宅で行っている場合、完全在宅勤務と同じように自宅で現地審査が行われることがあります。
完全在宅勤務の場合
2つ目は、オフィスを持たず、完全在宅勤務を行っている場合の審査です。
この場合、個人情報が取り扱われる場所として、代表者の自宅等で現地審査が行われます。
具体的な場所は会社によって異なるので、気になる場合は事前に審査機関に問い合わせてみましょう。
まとめ
この記事では、Pマークを取得した会社の在宅勤務について解説しました。
Pマークを取得していても、ルールを作成・実施すれば在宅勤務を行うことができます。
定期的に、ルールが適切に実施されていることを確認するようにしましょう。
Pマーク取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の19年間で3,000件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。