セコムの静脈認証による入退室管理は、ISMSのどの規程に該当しますか?管理のポイントは?
当社は、入退室に関しまして「セコムの静脈認証」により管理しております。
社員および派遣社員、業務委託社員、清掃業者。
さらには、よく居らっしゃる会計事務所の方を、このシステムに登録しています。
登録は、認証の登録用紙等を用い、登録を行っております。
この場合、物理的・環境的管理規程に属すると考えているのですが…
アクセス管理規程内にある指紋認証というのは、あくまでPC上ということでよろしいでしょうか?
また、当社は特に社員証なるものは発行していません。
来客の方にも「GUEST」などの札は渡していません。
そのため、社員と一般の方の区別は、第三者から見るとわかりづらいのが現状です。
このような現状に対して、もし変更の必要があるのであれば、どのような措置があるのかを考えていただけないでしょうか?
セコムの静脈認証による厳格な入退室管理を導入されているとのこと、基盤となる物理的セキュリティは非常に強固に構築されていますね。
ご質問いただいた「管理規程の区分」および「識別の必要性」について、最新のISMS規格(JIS Q 27001:2023)の考え方に沿って解説・アドバイスさせていただきます。
1. 「静脈認証」と「指紋認証」の規程上の区分
まず、規程の解釈について整理いたします。
- 入退室の静脈認証:『物理的・環境的管理規程』
ご認識の通り、オフィスという「物理的な領域」への出入りを制御するものは、物理的セキュリティの範疇です。 - PC等の指紋認証:『アクセス管理規程』
こちらは「論理的アクセス制御」と呼ばれます。ご推察の通り、PCのログイン、特定サーバー、あるいは会計ソフトや人事システムといった「情報(データ)」へアクセスするための認証を指します。
【ポイント】
同じ生体認証でも、「扉を開けるためのもの(物理)」か、「データを見るためのもの(論理)」かで管理規程が分かれます。
2. 「社員と第三者の識別」が必要な理由とリスク
入退室管理がしっかりしていても、一旦中に入った後の「識別」が不十分だと、ISMS上では以下のリスク(脆弱性)が残っているとみなされます。
- 共連れ(ピギーバック)への無防備:
認証した人の後ろから誰かが入った際、周囲が「社員か外部の人か」判別できないと、不審者に気づけません。 - 内部不正・物理的奪取の防止:
業務委託先や清掃業者、来客者が、許可されていないエリア(サーバーラック周辺や重要書類の保管場所)に立ち入っていても、周囲が注意を向けるきっかけがなくなります。
3. 具体的な改善策の提案(実務的な「落とし所」)
「大がかりな社員証発行」をしなくても、見た目で判別できる安価で効果的な代替案はいくつかあります。
- ストラップ(ネックストラップ)の色分け:
これが最も導入しやすく、効果的です。例えば、社員は「コーポレートカラーや青色」、外部者(委託・会計士等)は「黄色」、来客者は「赤色」のストラップを着用するルールにします。
※中身は顔写真入りのカードでなくても、名刺や「STAFF」「GUEST」と印字した紙でも十分機能します。 - 名札の着用ルール化:
クリップ式のネームプレート等でも構いません。要点は「許可を得てここに居る人である」という視覚的な証明(ビジュアル・コントロール)です。 - 来客対応の運用ルール:
「GUEST」カードの受け渡しが負担であれば、少なくとも「来客者は会議室以外の執務エリアへは社員の同行なしで立ち入らせない」といった運用ルールを徹底し、それを規程に明文化することも有効な対策です。
まとめ:ISMSが求める「識別」の本質
ISMSが求めているのは、立派なICカードを作ることではなく、「誰がどこのエリアにいる権利があるのかを、周囲が容易に判断できる状態にする」ことです。
現在の「静脈認証」という高度な入り口管理に、この「視覚的な識別」という運用を加えることで、物理的セキュリティはより完成度の高いものになります。
弊社のサンプル文書集(物理的・環境的管理規程)においても、こうした「入退室手続き」の項目を設けておりますので、ぜひ貴社の実情に合わせてルールを明文化してみてください。
