個人情報保護管理者、各責任者などはJIS Q 15001、規程など暗記して答えなければなりませんでしょうか？資料見ながらではいけませんか？

はい、資料を見ながら回答しても問題ありません。規程の内容をすべて暗記する必要はありませんが、自社で作成した規程や様式の運用意図、自社のリスクがどこにあるのかについては、審査員からの質問に対して自身の言葉で説明できるようにしておく必要があります。

サーバーラックを鍵付きにするだけで十分ですか？ISMSやPマークの物理的対策の基準とは？

Q: 以前からチェーンをかけるとかラックに鍵をかけるとかだけでいいと思っていましたが、正式には違うのでしょうか？

いいえ、サーバーを必ず個室に隔離するという一律のルールはありません。重要なのは物理的な仕切りの有無ではなく、自社のリスク評価に基づき妥当な対策が講じられているかという論理的根拠です。会社方針や費用対効果を考慮し、最適な対策を検討してください。

更新日：2019/09/21 （公開日：2008/08/12）

ISMSサンプル文書集,プライバシーマーク全般. 12,098 views

※本記事は、ISM Web store が作成・検証したものです。

今までは、内部監査を受けたのですが、サーバーなどの置き場所が、部屋の奥のほうにワイヤーラック棚にて設置してありました。
今回、内部監査を受けるにあたり鍵付きのサーバ専用ラックに変更しました。

監査責任者より、是正項目として鍵付きのラックでも高セキュリティゾーンにならないと指摘を受けました。
仕切りを作って部屋状態にしてくださいということだそうです。

以前からチェーンをかけるとかラックに鍵をかけるとかだけでいいと思っていましたが、正式には違うのでしょうか？
また、Ｐマークの現地審査のとき、審査員からどのような質問を受けるかわからないで、不安です。

個人情報保護管理者、各責任者などはＪＩＳＱ15001、規程など暗記して答えなければなりませんでしょうか？
資料見ながらではいけませんか？項目が多すぎて、すべて覚える自信がありません。

結論から申し上げますと、Pマーク（JIS Q 15001）において、「サーバーを必ず個室に隔離しなければならない」という一律のルールはありません。

大切なのは、物理的な仕切りの有無ではなく、「自社のリスクに対して、妥当な対策が講じられているか」という論理的な根拠です。

まず、内部監査の指摘に関してですが、これはセキュリティの設定レベルに関わってきます。

1. 物理的セキュリティの考え方：なぜ「部屋」を求められたのか

監査責任者が「高セキュリティゾーン（個室化）」を求めた背景には、単なる盗難防止だけでなく、以下のリスクを懸念している可能性があります。

物理的なアクセス管理：
鍵付きラックであっても、誰でも手が届く場所にあると、電源を抜かれる、LANケーブルを差し替えられる、ラックごと破壊されるといったリスクが残ります。
非権限者の接近防止：
サーバーの周囲に誰でも立ち入れる状態は、管理上の脆弱性とみなされやすい傾向にあります。

しかし、これらは、周辺環境や情報の重要度によって必要な対策が変わります。

例えば．．．
信号機や横断歩道の設置の必要性を例にとって説明しますと。
車などの交通量や人家・学校が少ない細い道には信号機や横断歩道は設置しませんよね。
逆に車などの交通量や人家・学校が多く、また、事故も多い、大きな道には信号機や横断歩道は設置しますよね。
場合によっては歩行者用の地下道を作りますよね。
また、車などの交通量や人家・学校が少ない細い道でも事故が多く、また地域住民からの要望が強ければ信号機や横断歩道は設置しますよね。
と、対応はさまざまとなりますよね。

2. 対策を導き出す3つの視点

以下の3点を監査責任者と再協議することをお勧めします。

情報の重要度（リスク評価）：
そのサーバーに保管されている個人情報の量や質に対して、現在の「鍵付きラック」で本当に不十分なのか？
周辺環境の管理状況：
サーバーがある「部屋自体」の入退室管理（誰がいつ入ったか）が徹底されていれば、ラックの施錠だけで十分な対策と言えるケースも多々あります。
代替策の検討：
仕切りを作るコストや場所の制約がある場合、「監視カメラの設置」や「ラックの床固定」など、別の方法でリスクを低減できないか検討の余地があります。