ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

個人の携帯を「パスワードを解除して提示せよ」と管理者が命令するのは従業員のプライバシー侵害にならないか。

2021/06/08

プライマシーマークサンプル文書集の「PMS-B01 個人情報取扱及び保護規程」について質問があります。

「3.2.3物理的安全管理措置」の「(3)盗難等の防止 4)携帯電話の取り扱い」において、個人所有の携帯電話も登録する方向で進めておりますが、P30の1行目に、以下の文言とあります。

『個人情報保護管理者からアドレス帳の点検を・・・・・・
 ただし、所有者個人は拒否する権利があります。』

個人の携帯を「パスワードを解除して提示せよ」と管理者が命令するのはいささか暴力的でそれこそ従業員個人のプライバシー侵害と考えています。
よってこの項目を削除したいのですが、審査上問題ないでしょうか。
ご教示ください。

サンプル文書集中には、個人のプライバシーも意識した記述として、「ただし、所有者個人は拒否する権利があります。」も記載しております。
なお、セレキュリティーレベルの話なのでどこまで設定し管理するかは会社の判断によるかと思います。

Pマークなどは性悪説を前提としていますので、このことも意識する必要があります。ご注意ください。

例えば、ご質問の場合のように協力できない場合は、会社の「BYODポリシー」(Bring Your Own Device 私物デバイスを業務で活用すること)にもよりますが、登録したデバイスが盗難や紛失した場合、遠隔消去の実行によりプライベートな情報も削除されることを明記した「同意書」等を徴求するといった対策を講じる方法もあるかと思います。