携帯電話の私用と社用の個人情報の扱い
社員が保持しているプライベートな個人情報は保護対象にならないと認識しておりますが、社員が保持している携帯電話が私用と社用を兼ねる場合、その中に入っている個人情報はどのように扱うべきでしょうか?
事業の用に供している個人情報とプライベートな個人情報がひとつの携帯電話に混在しているような場合は、業務の用に供している個人情報のみ保護対象になるという認識で合っているでしょうか?
また、PCについても同様の認識で合っているでしょうか?
結論から申し上げますと、「事業の用に供している(業務で使用している)」個人情報であれば、端末が私物であってもすべてPマークの保護対象となります。
ご認識の通り、プライベートな情報は対象外ですが、混在している場合の扱いには注意が必要です。以下の3つの視点で整理して解説します。
1. 「事業の用に供している」かどうかの判断基準
その個人情報が以下のいずれかに該当する場合、端末の所有者に関わらずPマーク上の「保護対象」とみなされます。
- 業務上の連絡先:
取引先の担当者名、電話番号、メールアドレスなど。 - 顧客データ:
業務アプリやクラウドサービスを通じて閲覧・保存している顧客情報。 - 社員情報:
業務指示やシフト管理のために保存している同僚の連絡先など。
これらが私用端末に入っている場合、会社はその情報を「特定(洗い出し)」し、リスクを分析した上で、適切な安全管理措置を講じる義務が生じます。
2. PCやその他の機器についても同様
ご指摘の通り、PCについても全く同様の認識が必要です。
- 私用PCでの業務:
私用PC内のローカルフォルダに業務上の個人情報を保存している場合、そのPC自体が「個人情報を取り扱う設備」として管理対象になります。 - USBメモリ・クラウドストレージ:
私物のUSBメモリや個人のクラウドストレージ(iCloud, Googleドライブ等)に業務データを保存した場合も同様です。
3. 実務的な対応と「軽量化」のコツ
公私混在端末をそのまま「保護対象」として管理し続けるのは、プライバシー侵害のリスクや管理工数の増大を招きます。以下の対応を検討することをお勧めします。
- 端末内にデータを残さない運用:
「私用端末の利用は認めるが、端末本体への保存は禁止し、クラウド上でのみ閲覧する」というルール(規定)を設けます。これにより、端末そのものを「個人情報の保持媒体」から外すことができ、管理を大幅に軽量化できます。 - BYOD規程の整備:
私用端末を業務利用する際の申請フロー、紛失時の報告義務、退職時のデータ削除確認などを定めた規程を整備します。これはPマーク審査において、会社が適切に統制をとっている証跡となります。
4. まとめ
その個人情報が、業務の用に供しているものであれば社員が保持している携帯であっても、JISQ15001に準拠した個人情報保護が適用されます。よって、個人情報の洗い出しが必要です。
ご指摘のとおり、PCについても同様の認識が必要ですし、他の機器も同様ですので注意して下さい。
「プライベートだから関係ない」ではなく、「会社のデータが1件でも入っていれば、その場所は管理区域である」という考え方がPマークの基本です。弊社のサンプルを活用し、実態に即した無理のないルール作りを進めてください。
