プライバシーマーク要求解説③3.4.3.2「安全管理措置」～入退室管理～

プライバシーマークの要求事項の主だったところを5回に分けて解説いたします。今回は第3回、3.4.3.2「安全管理措置」～入退室管理～です。

第1回から5回の目次は次の通りです。

1. 第1回、3.4.2.5 個人情報を3.4.2.4以外の方法で取得した場合の措置
2. 第2回、3.4.3.2「安全管理措置」～スマートフォン等の管理措置～
3. 第3回、3.4.3.2「安全管理措置」～入退室管理～
4. 第4回、3.7.1「運用の確認」
5. 第5回、3.9「事業者の代表者による見直し」

従業者の入退室管理

従業者の入退室記録は、台帳形式で毎月１枚ずつ記入するような様式になっていることが一般的です。セキュリティカードによる入退室管理を行っている場合、そのログが残っていれば可とされることもありますが、審査のときに「退室時の施錠チェック・火の元チェック等の記録を別途残すべき」と行った指摘を受けるケースがあります。紙媒体の台帳であればこれらの欄を設けて、最終退室者がチェックをすれば問題無いとされてきました。

また、毎月の運用点検などにおいて、この記録に抜けが無いかどうか確認することも必要です。

この管理の目的は、「夜間に侵入等の事件が起きた場合に、その日の状況を後追いで確認すること」です。事務所が誰かに荒らされたなどといった事故が生じたときに、誰が何時に施錠したのかが分かれば、帰宅時の状況を思い出してもらうことができ、それにより犯人や犯行時刻の特定につながる可能性があります。

外来者の入退室管理

外来者の入退室記録については、台帳形式ではプライバシーマーク審査でNGとされる過去事例が多く、その場合、一人一票形式で記録することが求められます。台帳形式を不可とする理由は「後から来た人に、前に来た人の記録（＝個人情報）が見えてしまうから」というものです。

記録の目的は、主に「就業中に盗難・紛失等の事件が起きた場合に、その時社内に誰がいたかを特定すること」です。

そのため、必ずしも来訪者に書いてもらう必要はありません。「VIPなお客様にもいちいち手書きしてもらうのは忍びない」「外国人のお客様が来るけど、どうしたらいいか」といったご相談を受けたこともありますが、その場合は応対した従業者が記録することで対応できます。

外来者の来訪記録としては、グループウェア等を用いた会議室の利用記録などを用いることもあります。
また、

• 頻繁に社内に立ち入る委託先は、個人情報保護に関する覚書や契約書を交わしていれば、都度記録を残さなくても良い
• 社内の「個人情報を保管・利用しているスペースに立ち入らない外来者」（廊下や会議室にしか立ち寄らない等）は、記録を要求しなくても良い（配送業者など）

等、環境・状況に応じて効率的な運用を定めることも、審査上認められているケースが多いです。