はじめに

みなさんの会社では携帯電話やスマートフォン、あるいはタブレット等の支給はありますか。もしくは私物の端末を業務用として使っているでしょうか。
本記事ではプライバシーマーク(以下、Pマーク)を取得する上で社用端末はないといけないのか、そのルールは決めないといけないのか、私物端末ではダメなのかといったことについて解説していきます。

Pマークを取得する上で社用端末は必須か

結論を言いますと『必須ではありません』。Pマークの規格、JIS Q 15001:2017にそのような記載はありません。
但し、規格の中には以下のようなことが記載されています。

【C.6.2.1　モバイル機器の方針】
モバイル機器を用いることによって生じるリスクを管理するために、方針及びその方針を支援するセキュリティ対策を採用することが望ましい

『JIS Q 15001:2017　C.6.2.1モバイル機器の方針』引用

つまり、社用端末を使わなければならない、端末はこう扱わなければならないといった明確な記載はないものの、取り扱う場合は紛失や盗難のような考えられるリスクを洗い出し、その対策を考え、それらを社内ルール化することが必要となります。

もし「端末を利用しているが社内ルールが一切ない」という状態だと前述した紛失・盗難だけでなく、誤送信やウイルス感染のようなリスクが起こる可能性が高くなります。
一例ですが、端末を取り扱う際のルールとして下記のようなルールをつくることが望ましいと言えます。

・複雑なパスワードを設定する。
・指紋や顔などの生体認証を設定する。
・遠隔ロックの設定をする
・公式のストア以外からアプリをダウンロードしない
・OSは最新のバージョンに、あるいは最新のものに不具合がないことを確認してからアップデートする
・私物端末にデータを転送しない

私物端末はダメなのか

では、私物の端末を業務利用することはどうでしょうか。スタートアップ企業やベンチャー企業の中には、私物端末を使っている会社もあるかと思います。
こちらも規格上は禁止されているわけではありません。ですが、私物端末を業務利用すると、社用端末にはない以下のようなリスクが起こる可能性があります。

・端末内に個人情報をダウンロードする
・アドレス帳に登録されている家族や友人に、誤って会社で管理している個人情報が含まれたメッセージ、あるいはファイルを送信してしまう
・端末が紛失、盗難にあった際にシステム管理者側で管理できない

逆に言えば、こういったリスクに対する対策をきちんとたてて社内ルールとして周知できていれば、私物端末であっても業務利用することも可能となります。
こちらも一例ですが、以下のような社内ルールをつくることが考えられます。

・端末内に個人情報をダウンロードしない
・メールやチャットは会社で指定されているツールを使用し、個人アカウントでは行わない
・上記以外の業務利用するアプリも会社で指定されているものを使用する
・私物端末についても遠隔ロックの設定を行う

最後に

今回は、Pマークを取得する上で社用端末は必須かという内容で解説しましたが、Pマークを取得していない会社であっても、端末から個人情報が漏えいするリスクを考えると、上記のような対策をすることが望ましいと言えます。
私物端末を業務利用するときの、また社用端末であっても漏えいするリスクを少なくするためにも、取扱い方法についての社内ルールをしっかり定めていきましょう。