来訪者のみにループクリップ着用を考えておりますが、これは認められるか。
「個人情報取扱及び保護規程/PMS-B01-1.00」について質問があります。
「3.2.3物理的安全管理措置」の「(2)入退室の管理」にある「1)社員等の識別」に関してですが、
サンプルでは社員は、「社内でループクリップを着用する」とありますが、今回の申請書で社員の識別はせず、来訪者のみ特定色にてループクリップの着用を考えておりますが、これは認められるかご教示ください。
社員の識別方法(ループクリップの着用)に関するご質問に、実務的な観点から回答申し上げます。
結論から申し上げますと、「来訪者のみを識別し、社員の識別を省略する」という運用は、貴社の組織実態に即していれば審査上全く問題ありません。
Pマーク(JIS Q 15001)が求めているのは「名札の着用」そのものではなく、「権限のない人間が個人情報を取り扱う区域に立ち入ることを防ぐ(あるいは検知する)仕組み」だからです。
1. 識別を省略できる「妥当性」の判断基準
Pマークが求める「物理的安全管理措置」の目的は、部外者の不正侵入を防ぐことにあります。以下の条件を満たしていれば、社員の常時着用を義務付ける必要はありません。
- 相互認識:
社員同士が全員顔見知りであり、部外者がいればすぐに気づくことができる規模である。(概ね30〜50名程度までの小規模オフィス)。 - 来訪者管理:
外部者には特定色のクリップを着用させることで、「識別されていない人物」がオフィス内に存在しない状態を作っている。 - 物理的防護:
オフィスの入り口が施錠管理されており、許可なき立ち入りが制限されている。
2. 審査における説明のポイント
審査員に対しては、形式的にルールを簡略化したのではなく、「自社の環境において、より確実かつ効率的に部外者を特定するための合理的な選択である」という意図を明確に伝えてください。
「当社は小規模であり、全社員が互いを認識しています。そのため、社員に識別証を強いるよりも、『一目で識別できる色のクリップ』を来訪者に着用いただくことで、部外者を浮き彫りにする方が実効性が高いと判断し、この運用を採用しています。」
「全社員が顔見知りである現状では、来訪者の識別を徹底することこそが、セキュリティ上の『違和感』を検知する最短ルートである」という説明は、非常に説得力のあるロジックとなります。
3. 運用改善へのアドバイス
社員数にもよるかと思いますが、社内と社外の区別がどのようにできているかがポイントになります。
もし将来的に組織が拡大し、他部署の人間や新入社員がすぐには判別できなくなった場合には、改めて社員証の導入を検討するという「見直しの基準」を持っておくことも、PMS(マネジメントシステム)の運用として重要です。
また、来訪者の識別を強化する代わりに、「入退室管理簿の記録」と「来訪者用クリップの回収確認」をより厳格に行うことで、物理的安全管理措置全体のバランスを整えることができます。
