ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

鍵が常時開放にしてある「入退室管理」について

2008/02/25 (2019/09/19)

先日、プライバシーマーク構築フルパッケージを購入させていただきありがとうございました。

1点教えて頂きたいのですが、「B10 物理的・環境的管理規程」に関係すると思いますが、事務所が3サイトあり、2箇所は入口がカードキー方式になっており、問題はクリアできそうですが、一箇所は、雑居ビルでエレベータで降りたら、すぐ事務所になっています。
(専用フロア状態)入口のドア(鉄製)はあります。
鍵は、普通のシリンダキーです。

入退室管理についてですが、トイレ、給湯室等が外にあるため鍵が常時開放にしてありますがPマーク上問題ないでしょうか?
社員以外は、受付を作り、管理台帳に書いてもらえば良さそうですが、社員の管理ができません。

まず、教科書的にはなりますがプライバシーマーク(以下、PM)では手順を追って対策を策定する必要があります。
なぜ、その様な対策が導き出されたのかが問われますので注意して下さい。

※雛形で言うとリスクアセスメント管理規程に準拠してリスクを分析し対策を策定(規程&様式などを作成して運用)するになります。

【JISQ15001での手順】

① 3.3.1 個人情報の特定
(→ 脅威から守るべき個人情報を特定)

② 3.3.3 リスクなどの認識,分析及び対策
(→ ①で特定された個人情報に対しての脆弱性や脅威を分析し対策を検討)

③ 3.4.3.2 安全管理措置
(→ ②の結果を基に自社で必要とされる対策を策定)

【実際には?】

<ご質問の場合では?> – – – – – – – – – – – – – – – – – –
入退室管理についてですが、トイレ、給湯室等が外にあるため鍵が常時開放にしてありますがPマーク上問題ないでしょうか?
社員以外は、受付を作り、管理台帳に書いてもらえば良さそうですが、社員の管理ができません。
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

<手順・手法・考え方>

① 3.3.1 個人情報の特定
1) 雑居ビル事務所で管理している個人情報を特定する。
————————-
(関連規程や様式など)
・「リスクアセスメント管理規程」
・「個人情報管理台帳」

② 3.3.3 リスクなどの認識,分析及び対策
1) 脆弱性を明確にする。
a) 鍵が常時開放にしてある。
b) 社員の管理ができない。
c) その他、色々 ※他にも考えれば色々ありますので注意して下さい。
————————-
(関連規程や様式など)
・「リスクアセスメント管理規程」
・「適用範囲関連資料-フロア図」
・「業務フロー」
・「リスク分析・評価表」
2) 脆弱性に対しての脅威を明確にする。
a) 鍵が常時開放にしてある。 → 不法侵入、破壊、盗難、漏洩など
b) 社員の管理ができない。 → なりすまし、不正アクセス、紛失、盗難など
c) その他、色々
————————-
(関連規程や様式など)
・「リスクアセスメント管理規程」
・「適用範囲関連資料-フロア図」
・「業務フロー」
・「リスク分析・評価表」

③ 3.4.3.2 安全管理措置
1) 脆弱性及び脅威を軽減するための安全管理措置を策定する。
※安全管理措置には「物理的」「人的」「組織的」「技術的」があります。
a) 鍵が常時開放にしてある。 → 不法侵入、破壊、盗難、漏洩など
→ 物理的安全管理措置として
「社員以外は、受付を作り、管理台帳に書いてもらう。」
————————-
(作成・運用される関連規定や様式など)
・「物理的・環境的管理規程」
・「入退室管理台帳」
b) 社員の管理ができない。 → なりすまし、不正アクセス、紛失、盗難など
→ 物理的安全管理措置として
「ループクリップなどを着用する。(社員&社員以外の人)」
————————-
(作成・運用される関連規定や様式など)
・「物理的・環境的管理規程」 → 「ループクリップなど」
「社員の個人情報の持ち出し記録を取る」
————————-
(作成・運用される関連規定や様式など)
・「物理的・環境的管理規程」 → 「重要資産持ち出し管理簿」
→ 人的安全管理措置として
「社員の方のアクセス制限(誓約書など)をする。」
————————-
(作成・運用される関連規定や様式など)
・「人的セキュリティ管理規程」 → 「誓約書」
→ 技術的安全管理措置として
「社員の方のアクセス制限(パスワード)をする。」
————————-
(作成・運用される関連規定や様式など)
・「アクセス管理規程」 → 「アカウント管理台帳」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
(補足)
数が多くて全ての対策は記述できませんが、上記以外にも考えられる対策を以下に示しますので参考にして下さい。

◆ 物理的安全管理措置として ――――――――――――――――
「部屋が無人となる場合(昼休みなど)は必ず施錠をする。もしくは、必ず誰かは常時、居るようにする。」
————————-
(作成・運用される関連規定や様式など)
・「物理的・環境的管理規程」 → 「施錠」、「人による監視」
「クリアディスク。」
「離席・帰宅時には施錠のできる机などに個人情報を保管する。」
————————-
(作成・運用される関連規定や様式など)
・「物理的・環境的管理規程」 → 「施錠」

◆ 人的安全管理措置として ―――――――――――――――――
「社員に入退出管理などの教育を実施する。」
————————-
(作成・運用される関連規定や様式など)
・「教育・研修管理規程」
→ 「年間教育・研修計画表」
→「教育・研修受講記録管理台帳」
→「教育・研修アンケート」

なども考えられます。

※注意事項
常識的に考えれば無いかと思いますが、各事務所でのセキュリティレベルが異なっていますので、非常識な審査員の場合、全ての事務所での”カードキー方式”の採用を要求されるかもしてません。