認証取得に関するコラム
プライバシーマーク要求解説②3.4.3.2「安全管理措置」~スマートフォン等の管理措置~

現時点(2017年1月現在)では、プライバシーマークの要求についてスマートフォン等の管理措置においては、明確な審査基準が定められていないため、審査員により判断にばらつきがあります。

過去事例では、スマートフォン管理の前提として次のような論点が取り上げられたことがあります。
   1:私物か/貸与物か
   2:システム・アプリによりグループウェアやデータベース等の利用をしているか
    又は単なる通話・メール転送のみか

1. 私物である場合、「管理を会社が強制できない」点を問題点として取り上げられます。あくまで個人の所有物なので「自分の物はどのように使おうが勝手」ということです。しかし、スマートフォン紛失等のリスクは顕在化する可能性が高いので、業務利用している以上、対策が必要であることは事実です。現状の審査では、パスコードロックの利用程度は最低限必要として要求される傾向にあります。
会社貸与の端末であれば、会社が指定する管理方法を遵守させる(強制する)、私物であれば要請するということになります。

2. スマートフォンは電話・メール・カメラ機能だけでなく、アプリの利用によりパソコンと変わらないくらいのことが出来るという前提で審査は行われます。
例えば、外出先から容易にデータベースを閲覧できる、行動予定や連絡事項を社内に伝達することができるようなシステムを導入している場合、安全管理としてまず通信回線の暗号化(傍受の予防)の必要性が挙げられます。
このケースで私物端末の業務利用を許可している場合は、以下のように様々な検討事項が生じます。
 ・プライベート用アカウントとの分離の検討
 ・ウイルス対策の必要性の検討
 ・安全性に問題のあるアプリの利用禁止要請
 ・SNSの利用による情報漏洩の予防
 ・退職時のデータ削除の徹底
このような安全管理に加えて、利用する従業者と個別に誓約書を締結する必要性も検討することになります。

「私物を業務に利用させる」ことは通称「BYOD(Bring your own device)」と呼ばれ、欧米を中心に広がりを見せていますが、実際に個人所有の携帯電話やスマートフォンの業務利用を検討すると、情報セキュリティの観点では様々な課題があることが分かります。

過去にプライバシーマーク審査で問題になることが取り立てて多かったわけではなく、私物の利用を禁止しているわけでもありません。ただ、先にも述べたように、「外出先での紛失」といった事故はかなり高い確率で発生しています。「プライバシーマークを取得することができるかどうか」という論点はさておき、本質的な情報セキュリティの実現を目指すのであれば、無視することができないテーマです。

認証取得お役立ち情報一覧に戻る

資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。


帝国データバンクNC

ISO27001
情報を適切に管理・運用し、一定以上のセキュリティレベルに。
プライバシーマーク
個人情報に対して適切な保護措置を講ずる体制を整備。
お問い合わせ・資料請求