レンタルオフィス及び自宅の個室に業務場所を限定する予定です。物理的安全管理措置はどちらとも対象とする必要がありますか。

はい、両方の場所を対象として検討が必要です。安全管理措置は情報資産の取扱状況に応じて変化します。レンタルオフィスや自宅でも、どのような資産を扱いどんな脅威があるかを鑑み、物理面だけでなく人的・技術的対策を含め総合的な対策を講じる必要があります。

レンタルオフィスや自宅で業務をする場合、どちらも物理的安全管理措置の対象になりますか？

更新日：2026/04/10 （公開日：2022/02/01）

※本記事は、ISM Web store が作成・検証したものです。

先日「物理的安全管理措置」した際に、共有型オフィスでは物理的安全管理措置を施す事が難しいというアドバイスを頂き、レンタルオフィス内の個室（施錠可）、自宅の個室の2か所に業務場所を限定する予定です。

この場合、主たる業務先をレンタルオフィス内の個室にするのですが、物理的安全管理措置はレンタルオフィス内の個室を対象とすれば良いのか、自宅の個室も対象とする必要があるのか教えてください。

結論から申し上げますと、機密情報を取り扱う場所であれば、レンタルオフィス・自宅の双方に対して物理的安全管理措置（またはそれに準ずる代替策）を講じる必要があります。

ISMSでは、場所がどこであるかよりも「そこにどのような情報資産があり、どのような脅威（のぞき見、盗難、紛失等）があるか」を起点に考えます。

「共有型オフィスでは物理的安全管理措置を施す事が難しい」との件ですが、安全管理措置は、どのような情報資産を、どこで、どのように取り扱い管理するかによって変わってきます。

専有型オフィスであれば、スペースとしての管理のしやすさから、物理的安全管理措置が施しやすいというだけであり、そうでない場合は、他の安全管理措置（組織的、人的、技術的）で対応をもっと重要視するだけのことです。

レンタルオフィス（個室）：
組織の「管理区域」として定義しやすい場所です。入退室管理や施錠など、従来の物理的セキュリティを適用します。
自宅（個室）：
組織が完全な物理統制を行うのが難しいため、多くの場合「リモートワーク（A.6.7）」や「構外にある資産のセキュリティ（A.7.9）」の管理策として、運用ルールや技術的対策（暗号化等）を組み合わせて保護します。

レンタルオフィスや自宅の個室の場所を選択されたとしても、そこでどういう情報資産を取扱い管理するのか、またそこではどのような脅威があるのか等を鑑み、「物理的に対応できるのは？」「人的には？」「技術的には？」「組織的には？」といった、それぞれの対策を講じることになります。

それぞれの場所で求められる具体的な管理措置としては、以下の通りです。

それぞれの場所で、以下の脅威に対する備えができているかを確認してください。

「自宅も物理的措置の対象にすべきか」と迷われた際は、以下のフローで判断してください。

情報の重要性を確認：
その場所で「極秘」や「個人情報」を取り扱うか？
代替策の検討：
物理的な入退室管理ができない場合、技術的対策（デバイスの暗号化、VPN利用）や人的対策（家族にも見せない等の誓約）でリスクを許容できるか？
場所の定義：
物理的に厳しい管理ができない場所であれば、そこでは「機密情報の印刷を禁止する」「PC画面にフィルターを貼る」といった運用ルールによる制限を設けます。

「物理的措置がどこまで必要か」については、その場所で扱う情報の重要度で決まります。
もし自宅での物理的対策に限界がある場合は、「自宅では極秘情報は扱わない、印刷しない」といった運用制限を設けることで、ISMSとしての整合性を保つことが可能です。

専有型ではないオフィスや自宅での作業は、最終的には「テレワークにおけるセキュリティ対策」に収束します。重要なのは、「どの場所で、どのレベルの情報まで扱って良いか」を明確に規程化し、それが実行可能であることです。
最終的には、「その場所で決めたルールが守れるか」がポイントとなります。

当店で販売している「テレワークのセキュリティについて」のテキストにも、自宅での具体的な物理対策（のぞき見防止、クリアスクリーン等）や理解度テストが含まれておりますので、これらの教材なども参考に、実態に即したルール作りを進めてみてください。

以上、ご参考下さい。