バーチャルオフィスの入退室管理は必要ですか?個人情報を取り扱わない場合の対応
弊社の事業拠点は複数あるのですが、そのうち、いくつかはバーチャルオフィス(実際に入居はせずにオフィスの住所や電話番号を借りられるオフィス)です。
バーチャルオフィスの入退室管理というのは、どのような扱いになるのでしょうか?
※バーチャルオフィスで個人情報を取り扱うことはありません。
このような場合でも、台帳などで入退室管理をする必要があるでしょうか?
結論から申し上げますと、「個人情報の取扱いが一切ない」ことが明確であれば、物理的な入退室管理台帳を備え付ける必要はありません。
ただし、Pマークの審査においては「なぜ不要と判断したか」という論理的な裏付けが求められます。
以下のステップで整理することをお勧めします。
1. 「リスク分析」に基づく判断
Pマーク(JIS Q 15001)において、入退室管理はあくまで「リスクに対する一つの対策(管理策)」です。
- リスクの有無:
当該拠点で個人情報の「紙媒体の保管」「PC画面での閲覧」「電話等での会話」が一切行われないのであれば、物理的漏洩のリスクは「なし」と評価されます。 - 対策の決定:
リスクがない場所に対して、形だけの入退室管理を行う必要はありません。
2. 審査で「対策なし」とするための条件
「バーチャルオフィスだから何もしない」とするのではなく、以下の実態を把握・定義しておくことが重要です。
- 物理的実態の確認:
その場所が「郵便物の受け取りのみ」なのか、あるいは「共用の会議室で打ち合わせを行う」ことがあるのかを明確にします。 - 会議室利用時のルール:
もし共用会議室を利用する場合、そこで個人情報を含む資料を広げたり、機密性の高い話をしたりしないという運用ルールを明確にしていれば、台帳管理は不要です。
3. 注意が必要なケース
以下のような場合は、入退室管理以外の「別の対策」や検討が必要になる可能性があります。
- 郵便物の転送:
バーチャルオフィスに届いた個人情報を含む郵便物をスタッフが開封・転送する場合、それは「委託先」としての評価対象になることがあります。 - 登記上の本店:
登記場所であっても、実態として業務を行っていないのであれば、その旨を「物理的セキュリティ」の適用除外範囲として規程等に明記しておく必要があります。
4. 弊社サンプル文書集での対応箇所
今回のケースを論理的に整理するために、弊社のサンプル文書集(JIS Q 15001:2023準拠)内の以下の項目を確認・活用してください。
- 個人情報保護規程(リスクなどの認識、分析及び対策):
- 拠点ごとのリスクを分析する際、「当該拠点は個人情報を一切取り扱わない」旨をリスク分析結果として記録します。
- 事業所・拠点一覧(またはネットワーク・フロア図):
- バーチャルオフィスについては「物理的区画なし」「個人情報取扱なし」と定義することで、管理の対象外であることを審査員に一目で示せます。
「対策の要否」を断定するには貴社の詳細な利用実態を確認する必要がありますが、基本的には「リスクのないところに、過剰な事務作業(台帳記入等)は不要」というのがJISの合理的な考え方です。
まずは規程に基づき、バーチャルオフィスにおけるリスクを「なし」と特定するプロセスから進めてみてください。
