グループ会社とサーバやメールを共用していても、Pマーク取得は可能ですか?
いつも大変お世話になっております。
同フロアのグループ会社についてPマーク上、確認したいのですが宜しくお願いいたします。
1)ファイルサーバを共用していますが、問題ありますか?
2)電話交換機を、共用していますが、問題ありますか?
3)メールドメインを共用していますが、問題ありますか?
規程?を作成すれば良いのでしょうか?
具体的にどんな感じの規程でしょうか?
グループ会社と同じフロアで業務を行う場合、最も重要な視点は「自社の個人情報が、他社(グループ会社含む)の役職員から物理的・論理的に隔離されているか」という点です。
Pマーク上、グループ会社は「別法人」=「第三者」として扱われます。
ご質問の各項目について、具体的なリスクと規程化のポイントを整理しました。
1. 各設備共用に関する見解
| 項目 | Pマーク上のリスク | 必要な対策と判断基準 |
|---|---|---|
| ①ファイルサーバー | 他社の社員が自社の個人情報にアクセスできるリスク。 | 論理的な隔離が必須です。単にフォルダを分けるだけでなく、アクセス権限(ID/パスワード)を会社ごとに厳格に分離し、他社フォルダが参照不可、またはアクセス拒否される設定が必要です。 |
| ②電話交換機(PBX) | 通話履歴の混同や、設定ミスによる他社宛電話の誤転送リスク。 | 通話機能のみの共用であれば原則問題ありませんが、顧客の連絡先が登録された共有電話帳や録音機能がある場合、その管理責任(誰がメンテナンスするか)を明確にする必要があります。 |
| ③メールドメイン | 送信元の誤認や、管理者による他社メールの閲覧リスク。 | ドメインが同じでも、メールボックスが個別に管理され、他社から閲覧できない仕組みであれば継続可能です。ただし、「管理を委託している」という形式になるため、委託先の監督が必要です。 |
2. 必要な「規程」と具体的な記述イメージ
単に「問題ない」とするのではなく、以下の3つの観点から規程を整備・修正することが推奨されます。
- A. 物理的セキュリティに関する規程(入退室管理)
壁やパーテーションがない場合、フロア全体が「部外者が立ち入れる区域」とみなされます。- – 規程イメージ:
「当社執務エリアとグループ会社共用エリアの境界を明確にし、施錠または部外者(他グループ社員含む)の立ち入りを制限する措置を講じる。やむを得ず立ち入る場合は、当社の管理監督下におくものとする。」
- – 規程イメージ:
- B. 委託・共同利用に関する契約(機密保持)
サーバーやドメインを共用(一方が管理)している場合、それは「委託」または「共同利用」に該当します。- – 規程イメージ:
「インフラを共用するグループ会社との間で、個人情報の保護に関する機密保持契約書(または覚書)を締結する。これには、事故発生時の報告義務、再委託の禁止、安全管理措置に関する事項を含めるものとする。」
- – 規程イメージ:
- C. アクセス権限管理に関する規程
- – 規程イメージ:
「サーバーおよびメール等の情報システムは、業務上必要な者のみに最小限のアクセス権限を付与する。グループ会社間での相互アクセスは原則禁止とし、アクセスログの定期的な確認により不正アクセスを防止する。」
- – 規程イメージ:
3. 「第三者提供」か「委託」か
個人情報を共有して使用していれば、以下の点に注意が必要です。
- 単なる「保管」の共用(委託):
サーバーを共用しているだけで、他社がその中身を利用しないのであれば「委託」としての管理(機密保持契約と安全管理措置)が主となります。 - データの「利用」の共用(共同利用):
もしグループ会社間で名簿を一緒に使うのであれば、それは「第三者提供」または「共同利用」に該当し、本人への告知(公表)や同意が必要になります。
まとめ:審査をスムーズに進めるために
Pマーク審査員は、「他社の人が画面を覗き込める環境ではないか」「他社の情シス担当者が自社のメールを勝手に見られないか」という実態をチェックします。
- アクセス権限設定表(誰がどこまで見られるか)
- グループ会社間との機密保持契約書
- 座席レイアウト図(覗き見防止対策の有無)
これらをセットで準備しておくことで、共用環境でも「適切に管理されている」と合理的に説明することが可能です。弊社のサンプル文書集にある「セキュリティを保つべき領域」や「外部委託」などの規定をベースに、上記の実態を反映させて調整してください。
