ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

入退室管理において「鍵を常時開放」にしている場所がある場合、Pマーク審査で指摘されますか?

更新日:2026/04/07 (公開日:2008/02/25)
Pマークサンプル文書集.  10,811 views
※本記事は、ISM Web store が作成・検証したものです。

先日、プライバシーマーク構築フルパッケージを購入させていただきありがとうございました。

1点教えて頂きたいのですが、「B10 物理的・環境的管理規程」に関係すると思いますが、事務所が3サイトあり、2箇所は入口がカードキー方式になっており、問題はクリアできそうですが、一箇所は、雑居ビルでエレベータで降りたら、すぐ事務所になっています。
(専用フロア状態)入口のドア(鉄製)はあります。
鍵は、普通のシリンダキーです。

入退室管理についてですが、トイレ、給湯室等が外にあるため鍵が常時開放にしてありますがPマーク上問題ないでしょうか?
社員以外は、受付を作り、管理台帳に書いてもらえば良さそうですが、社員の管理ができません。

構造的に入退室管理が困難な事務所における対応について回答申し上げます。

結論から申し上げますと、「鍵が常時開放であること」や「カードキーがないこと」自体が即座に不適合となるわけではありません。
Pマークにおいて重要なのは、その環境における「リスクを正しく認識し、代替となる妥当な対策(安全管理措置)を講じているか」というプロセスです。

1. リスクアセスメントに基づく考え方

JIS Q 15001に基づき、以下の手順で対策を整理します。

  • ① 個人情報の特定:
    脅威から守るべき個人情報を特定。
    当該事務所で「どのような個人情報(紙、データ)」を「どこに保管」しているかを明確にします。
  • ② リスクの認識・分析:
    ①で特定された個人情報に対しての脆弱性や脅威を分析し対策を検討。
    「エレベーター直結でドア開放」という状況に対し、以下の脆弱性と脅威を特定します。
    • 脆弱性: 第三者が容易に執務エリアに侵入できる。従業員の出入りが記録されない。
    • 脅威: 盗難、のぞき見、重要書類への不正アクセス。
  • ③ 安全管理措置の策定:
    ②の結果を基に自社で必要とされる対策を策定。
    特定した脅威に対し、物理的・組織的・技術的な側面から「現実的な対策」を組み合わせます。

2. 推奨される具体的な代替対策案

カードキー等による機械的な管理が難しい場合、以下の運用を組み合わせることでセキュリティレベルを担保します。
例えば、従業員にホルダー付き名札の着用を義務付け、部外者との判別を容易にしたり、ドアが開放されている分、離席時のPCロックや書類の書庫格納(施錠)を他サイト以上に厳格な運用。受付での「入退室管理台帳」の記帳およびゲスト用名札の貸与の徹底。また、社員の入退室記録の代わりに、PCのログオン・ログオフ記録を「勤務の証跡」として活用することも有効です。

  • ① 物理的・環境的対策:
    • ・ゾーニングの徹底:
      個人情報を扱う机や棚をエレベーターから遠ざける、またはパーテーションで視線を遮る。
    • ・識別票(社員証)の着用:
      全従業員に社章や名札の着用を義務付けます。「名札のない人=部外者」と一目で判別できるようにします。
    • ・保管場所の施錠:
      離席時や帰宅時は、個人情報が含まれる書類やPCを必ず施錠可能な袖机・書庫に保管する(クリアデスク・クリアスクリーンの徹底)。
  • ② 組織的・人的対策:
    • ・来客管理の強化:
      ご質問にある通り、受付を設置し、来客には「入退室管理台帳」への記帳と、ゲスト用ホルダーの着用を徹底します。
    • ・従業員の意識教育:
      「このオフィスは構造上リスクが高い」という認識を共有し、不審者への声掛けや、離席時のPCロックを徹底するよう教育します。
    • ・定期的な点検:
      終業時に窓締まりや書庫の施錠がなされているか、チェックリストによる点検を行います。
  • ③ 技術的対策:
    • ・アクセスログの活用:
      入退室記録の代わりに、PCのログオン・ログオフログを保管することで、誰がいつ業務に従事していたかの証跡とします。

3. 審査対応のポイント

審査では「規程と実態の整合性」が問われます。
例えば、「物理的・環境的管理規程」において「原則施錠する」と書きながら実態が開放されていると不適合になります。現状に合わせて、「構造上、常時施錠が困難な区域については、IDカードの着用および保管場所の施錠をもって代替とする」といった内容を、貴社の実態(リスク分析の結果)に合わせて規程化しておくことが重要です。

稀に厳しい審査員から追加対策を求められる可能性はありますが、まずは上記のような「運用によるカバー」を文書化し、実施記録を残すことで、Pマークの要求事項は十分に満たすことができます。

貴社の「物理的・環境的管理規程」において、当該サイトの特殊性を考慮した運用ルール(例:構造上施錠が困難なため、什器の施錠を強化する等)が明文化されていることが、合格へのポイントとなります。

プライバシーマーク サンプル文書集

文書づくりにお困りなら『プライバシーマークサンプル文書集』

プライバシーマークサンプル文書集は、プライバシーマーク取得に必要なマニュアルおよび規程書、様式を具体的に示したサンプル文書集です。プライバシーマーク制度の審査基準への対応はもちろん、JISQ15001要求事項へ対応した作りとなっています。

詳しくはこちら

ISM Web store

執筆・監修:ISM Web store カスタマーサポート

ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。


ISMSサンプル文書集
「リスクグループ分類表」の赤くしてある部分について
2009/03/15 ISMSサンプル文書集 2,540 views
ISMSサンプル文書集
拠点ごとに物理的セキュリティを明確にする一覧表が必要か?
2009/03/18 ISMSサンプル文書集 3,236 views
プライバシーマーク サンプル文書集
リスクアセスメント管理規程の「8 附属資料(分類コード表)」記載について(2)
2010/03/17 Pマークサンプル文書集 3,918 views

Store

プライバシーマーク取得支援パッケージ

プライバシーマーク認定の支援パッケージ。

詳しくはこちら

プライバシーマーク サンプル文書集

プライバシーマークのサンプル文書集。

詳しくはこちら

プライバシーマーク社員教育用テキスト

プライバシーマークの社員教育用テキスト。

詳しくはこちら

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら