認証取得に関するコラム
Pマーク要求解説③3.4.3.2「安全管理措置」
~入退室管理~

プライバシーマーク審査においての入退室管理の論点では、次の2点が求められます。
1.最初に入室した従業者と最後に退室した従業者の記録
2.外来者の入室・退室時刻の記録

従業者の管理

従業者の入退室記録は、台帳形式で毎月1枚ずつ記入するような様式になっていることが一般的です。セキュリティカードによる入退室管理を行っている場合、そのログが残っていれば可とされることもありますが、審査のときに「退室時の施錠チェック・火の元チェック等の記録を別途残すべき」と行った指摘を受けるケースがあります。紙媒体の台帳であればこれらの欄を設けて、最終退室者がチェックをすれば問題無いとされてきました。

また、毎月の運用点検などにおいて、この記録に抜けが無いかどうか確認することも必要です。

この管理の目的は、「夜間に侵入等の事件が起きた場合に、その日の状況を後追いで確認すること」です。事務所が誰かに荒らされたなどといった事故が生じたときに、誰が何時に施錠したのかが分かれば、帰宅時の状況を思い出してもらうことができ、それにより犯人や犯行時刻の特定につながる可能性があります。

外来者の管理

外来者の入退室記録については、台帳形式ではプライバシーマーク審査でNGとされる過去事例が多く、その場合、一人一票形式で記録することが求められます。台帳形式を不可とする理由は「後から来た人に、前に来た人の記録(=個人情報)が見えてしまうから」というものです。

記録の目的は、主に「就業中に盗難・紛失等の事件が起きた場合に、その時社内に誰がいたかを特定すること」です。
そのため、必ずしも来訪者に書いてもらう必要はありません。「VIPなお客様にもいちいち手書きしてもらうのは忍びない」「外国人のお客様が来るけど、どうしたらいいか」といったご相談を受けたこともありますが、その場合は応対した従業者が記録することで対応できます。

外来者の来訪記録としては、グループウェア等を用いた会議室の利用記録などを用いることもあります。
また、
・頻繁に社内に立ち入る委託先は、個人情報保護に関する覚書や契約書を交わしていれば、都度記録を残さなくても良い
・社内の「個人情報を保管・利用しているスペースに立ち入らない外来者」(廊下や会議室にしか立ち寄らない等)は、記録を要求しなくても良い(配送業者など)
等、環境・状況に応じて効率的な運用を定めることも、審査上認められているケースが多いです。

※以上は、あくまで「プライバシーマーク審査における傾向」の記述であり、「一般的な入退室管理の原則」というわけではありませんので、企業の事情に合わせてご対応ください。

認証取得お役立ち情報一覧に戻る

資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。


帝国データバンクNC

ISO27001
情報を適切に管理・運用し、一定以上のセキュリティレベルに。
プライバシーマーク
個人情報に対して適切な保護措置を講ずる体制を整備。
お問い合わせ・資料請求