プライバシーマーク要求解説②3.4.3.2「安全管理措置」～スマートフォン等の管理措置～

プライバシーマークの要求事項の主だったところを5回に分けて解説いたします。今回は第2回、3.4.3.2「安全管理措置」～スマートフォン等の管理措置～です。

第1回から5回の目次は次の通りです。

1. 第1回、3.4.2.5 個人情報を3.4.2.4以外の方法で取得した場合の措置
2. 第2回、3.4.3.2「安全管理措置」～スマートフォン等の管理措置～
3. 第3回、3.4.3.2「安全管理措置」～入退室管理～
4. 第4回、3.7.1「運用の確認」
5. 第5回、3.9「事業者の代表者による見直し」

1：私物か／貸与物か

私物である場合、「管理を会社が強制できない」点を問題点として取り上げられます。あくまで個人の所有物なので「自分の物はどのように使おうが勝手」ということです。しかし、スマートフォン紛失等のリスクは顕在化する可能性が高いので、業務利用している以上、対策が必要であることは事実です。現状の審査では、パスコードロックの利用程度は最低限必要として要求される傾向にあります。

会社貸与の端末であれば、会社が指定する管理方法を遵守させる（強制する）、私物であれば要請するということになります。

2：グループウェアやデータベース等の利用をしているか

スマートフォンは電話・メール・カメラ機能だけでなく、アプリの利用によりパソコンと変わらないくらいのことが出来るという前提で審査は行われます。

例えば、外出先から容易にデータベースを閲覧できる、行動予定や連絡事項を社内に伝達することができるようなシステムを導入している場合、安全管理としてまず通信回線の暗号化（傍受の予防）の必要性が挙げられます。

このケースで私物端末の業務利用を許可している場合は、以下のように様々な検討事項が生じます。

• プライベート用アカウントとの分離の検討
• ウイルス対策の必要性の検討
• 安全性に問題のあるアプリの利用禁止要請
• SNSの利用による情報漏洩の予防
• 退職時のデータ削除の徹底

このような安全管理に加えて、利用する従業者と個別に誓約書を締結する必要性も検討することになります。

私物を業務に利用させること（BYOD）について

「私物を業務に利用させる」ことは通称「BYOD（Bring your own device）」と呼ばれ、欧米を中心に広がりを見せていますが、実際に個人所有の携帯電話やスマートフォンの業務利用を検討すると、情報セキュリティの観点では様々な課題があることが分かります。

過去にプライバシーマーク審査で問題になることが取り立てて多かったわけではなく、私物の利用を禁止しているわけでもありません。ただ、先にも述べたように、「外出先での紛失」といった事故はかなり高い確率で発生しています。「プライバシーマークを取得することができるかどうか」という論点はさておき、本質的な情報セキュリティの実現を目指すのであれば、無視することができないテーマです。