クリアデスク対策は鍵付きキャビネットへの保管で十分ですか?固定まで必要でしょうか。
クリアデスクに関して、お伺いしたい事がございます。
現在デスク上に紙媒体の情報資産を多く置いており、クリアデスクのルールを考えています。
例えば各自のデスク下にサイドキャビネットを置いており、それに鍵付きの段があるので業務終了時にそこに保管するという様なもので問題ないでしょうか。
サイドキャビネット自体はデスクとは独立しておりますので、その固定まで必要になりますでしょうか。
ご質問ありがとうございます。クリアデスク・クリアスクリーンのルール作りは、情報漏えい防止の第一歩として非常に重要です。
ご検討中の「各自のデスク下の鍵付きサイドキャビネットに保管する」という運用について、ISMSの観点から結論を申し上げますと、「その方法で全く問題ありません」。
質問者様が懸念されている「サイドキャビネットの固定」の要否も含め、専門的な観点から3つのポイントで解説いたします。
1. クリアデスクの「本質的な目的」を理解する
クリアデスク(JIS Q 27001:2023 附属書A 7.7)の主な目的は、「離席時や業務終了後に、権限のない者に情報を盗み見られたり、持ち去られたりするのを防ぐこと」です。
- なぜサイドキャビネットで十分なのか:
サイドキャビネットに収納し、施錠を行うことで「机上に放置されている(誰でも見られる)」という状態は解消されます。キャビネットがデスクと独立していても、施錠さえされていれば、クリアデスクの要求事項は十分に満たされています。
2. サイドキャビネットの「固定」は必要か?
結論として、クリアデスクのルールとして「キャビネットの固定」までは求められません。
- 防犯の観点:
通常、オフィスビル自体にオートロックや入退室管理(物理的境界)があるはずです。「キャビネットごと持ち去られる」というリスクは、建物のセキュリティや入退室管理の範疇で対策すべきものであり、クリアデスクのルールとして縛るものではありません。 - 安全の観点(地震対策):
回答にあった「サーバーラックの固定」は、情報の機密性(漏えい防止)ではなく、「可用性(機器の破損防止)」および「安全性(転倒による怪我防止)」を目的としたものです。腰高程度のサイドキャビネットであれば、安全管理上の規定で定めがない限り、ISMSの審査で固定を指摘されることはまずありません。
3. 実務を円滑にする「運用の工夫」
「サイドキャビネットへの保管」をルール化する際、以下の視点を持つことで、より実効性の高い運用になります。
- 「鍵の管理」をセットで考える:
せっかくキャビネットに入れても、その鍵をデスクの引き出し(無施錠)に入れたり、机上に置いて帰宅したりしては意味がありません。鍵の持ち帰り、あるいはスペアキーの管理ルールを併せて決めることが重要です。 - 「クリアスクリーン」の徹底:
紙媒体のクリアデスクとセットで、PC画面をロックする(Windowsキー+Lなど)クリアスクリーンの習慣化も、同様に指導されることをお勧めします。
まとめ
ご検討中の「業務終了時に鍵付きのサイドキャビネットに保管する」という運用は、非常に一般的かつ妥当な方法です。
もし、さらに具体的な規定の雛形をお探しの場合は、弊社の「ISMSサンプル文書集」に含まれる「物理的・環境的管理規程」が参考になるかと思います。具体的な記述例を多数収録しておりますので、ぜひご活用ください。
