はじめに
ほとんどの会社で使用しているであろうパソコン(以下PC)。PCなくして仕事はできません。ではPマークを取得している場合どのような取扱いをしてどのようなことに気をつければいいのでしょうか。本記事ではその説明をしていきたいと思います。
なおここではシステム上のセキュリティ(アクセス権やログ管理、バックアップやウイルス対策等)というより、PCという媒体そのものに対して従業員がどのように取扱うべきか、その方法についての記載をしています。
定めるべきルール
定めるべきルールとしては下記のようなことが挙げられます。(あくまで一般的な例です。)
- 帰宅時は施錠保管もしくはワイヤーロックを実施する(ノートPCの場合)
- 作業中に第三者から見られないようにするための措置を取る
- クリアスクリーンのルールを決める
- 在宅勤務時のルールを決める
それぞれについて詳しく見ていきましょう。
1.帰宅時は施錠保管もしくはワイヤーロックを実施する
ノートPCを取り扱っていて退社時に会社に置いて帰る場合は、「施錠保管」か「ワイヤーロック」が必須となります。規格でそのようにしなさいと記載されているわけではないのですが、外部、あるいは可能性としては低いですが内部の人間に盗難されるというリスクへの対策としてどちらかを行うことが望ましいです。
また、これは帰宅時に会社にPCを置いて帰る場合に定めるべきルールなので、在宅勤務をする際のルールについては下記「4.在宅勤務時のルールを決める」に記載しています。
2.作業中に第三者から見られないようにするための措置を取る
普段行う業務の中で、例えば、マイナンバーを取り扱う際は、取扱い担当者以外は例え社内の人間であっても見られないようにする必要があります。またマイナンバー以外でも、従業員の給与に関する業務であれば同じように第三者に見られないようにする必要があります。
方法としてはいくつかありますが、壁を背にした場所で業務を行う、取扱い担当者だけのエリアをつくる、ノートPCであれば覗き見防止シートを設置する、のような措置を取ることが考えられます。
3.クリアスクリーンのルールを決める
クリアスクリーンとは「離席するときに第三者にPCを操作されない状態にすること」です。
クリアスクリーンの詳細については「Pマーク取得に必須!クリアデスク・クリアスクリーン」に詳しく記載していますのでこちらをご参照ください。
4.在宅勤務時のルールを決める
最近では新型コロナウイルス感染対策の一環として、ノートPCを家に持ち帰って在宅勤務をする人も多いかと思います。そういった場合は1にあるような施錠保管やワイヤーロックのような措置を取ることができません。
その際は、代わりに在宅勤務時のルールを定める必要があります。例えば、家族であっても第三者であることに変わりはありませんので、画面を見られたり操作されたりしないよう、なるべく別の部屋で作業をする、また上記の2や3のような措置を取ることが望ましいと言えます。また、在宅勤務をするということは社外にPCを持ち出すということですので紛失や盗難のリスクも発生します。在宅勤務と出社を交互に行うような際は、肌身離さず持ち歩く、電車の網棚に置き忘れないようにするといったことにも注意しましょう。
私物PCを使う場合
管理者側で管理できないというデメリットがあるためできれば使用しない方がいいですが、業務上必要なケースも出てくると思います。そのような場合は、基本的に社用PCと同様のルールにするのにプラスして下記のようなルールを設けることをお勧めします。
- 私物PCを使用する際はセキュリティ担当者に申請して許可を取る(使用頻度が少ない場合)
- ローカルフォルダに個人情報が含まれているデータをダウンロードしない、業務上ダウンロードせざるを得ない場合でもその日中に削除する
Pマークにおいて
実はPマークでは、PCの取扱い方法に関して「個人情報を取得する際は同意を得る」のような、規格上必須となっている事項はありません。また、Pマークの審査では良くも悪くも個人情報を取り扱う際のルールについてしか見られませんので、PC内に個人情報が一切含まれていない、取り扱うこともないのであれば(開発業務のような場合)、Pマーク上ルールをつくる必要はありません。
ですが、セキュリティの観点からいうと、個人情報が含まれていなくとも、漏えいしてしまってはまずい情報が含まれているのであれば、何らかの対策をすることが望ましいです。
さいごに
PCは業務において必ず使用しますし、含まれている情報量も非常に多いです。また最近では在宅勤務をする機会も多いためリスクが起きる可能性がより高くなっています。
だからこそ漏えいのような事故が起きる可能性を少しでも少なくするために、ルールはきっちりと定め、取扱いに気を付けていきましょう。
