Close

About

東京のコンテンツ制作会社が運営する
時事コラムサイト
株式会社オフィス・サウス

Prev Next
Image
Contribution & Interview

テレワークと個人情報

2020.11.16

新型コロナウイルスの感染拡大から急速に進んだテレワーク化。今となってはWeb会議を経験したことがない方を見つけるほうが難しいかもしれません。自宅はもちろん、外出先で仕事をする機会も増えた中、個人情報の取り扱いについてあらためて専門家にお話を伺いました。

お話を伺うのはプライバシーマーク制度の主任審査員をされいてる関恭子さん。

―まずは基本的なことからおさらいさせてください。個人情報とは?

「あなたが誰か」を特定できる情報です。氏名はもちろん、メールアドレスも個人情報です。

―メールアドレスも?

はい。企業のメールアドレスの場合@マーク以降で企業が特定できてしまいます。
例えばサウスさんなら「@gogo-south.jp」がついているだけで、サウスの社員であることがわかります。@マーク以前は名字や名前を付けている方がほとんどですので、その会社のそのお名前の方・・・とたどっていくとメールアドレスの持ち主を特定できてしまいます。ですから個人情報にあたります。

―Pマークではそうした情報の扱い方を規定している?

Pマークはひとつの「証」です。
審査の基準となっているのは、JIS規格「個人情報保護マネジメントシステム」です。それ以外にも、個人情報保護法や保護法ガイドライン等を審査の基準に含み、企業が個人情報を正しく扱っているかどうかを証する制度です。

―Pマーク取得は大変そうですよね・・・

確かに最初は大変かもしれませんが、取得することで社内の意識が大きく変わり、管理の徹底を推し進める体制ができます。情報漏えいなどのトラブルで失う信用には変えられないと思います。

―体制ですか?

はい。社内で個人情報保護のためのPDCAを回す体制を作ることも、Pマーク取得時には求められます。
Pマーク取得企業は、最初に社内で扱う個人情報の洗い出しをします。「どんな情報か」「何に使っているか」「どんな環境で使っているか」をまとめるのです。さらに、それぞれの情報の「リスク」を分析し「対策をとる」ことをしていきます。

例えば、お客様の電話番号は営業担当者が携帯電話に入れて外に持ち出します。すると、そこには「携帯電話をなくして電話番号が漏えいする」というリスクがあることがわかります。対策として「携帯電話のリモートロック機能を導入」することが考えられます。

―では、Pマーク取得企業はリモートワーク主体となって困っていない?

そうですね。Pマーク取得企業はこのPDCAを常に回すことが求められています。
個人情報を自宅や出先に持って行かざるを得ない状況になった場合は、その情報の「リスク」を高く設定し直すとともに、新たな対策を打たなければなりません。

とはいえ、資金不足などで新たな対策が打てないこともあるかもしれません。その場合は「残存リスク」として管理しておくことになります。いつまでも放っておくことはできませんが資金的な余裕ができるまでは「これまで以上に慎重に」そのデータを扱うことで対応します。

―テレワークにあたってPマーク取得企業のみなさんはどのように対応をしている?

VPNの導入、リモートデスクトップを活用している企業さんは多いですね。
また少しお値段が張りますが私物PCであっても、USBコネクタで認証キーを差し込むこことで社内システムにリモートアクセスできる商品もあります。誰でも使えるためとても便利です。

せっかく新たなシステムを導入しても社員の方々が使いこなければ意味がありません。扱う情報のリスクや社員の皆さんのITスキルに応じたシステムを選ぶことが大事です。

―Pマークを取得していない企業での対策は?

Pマークを取得していない企業でも個人情報をきちんと扱う必要があります。扱い方を明文化することが望ましいですが少なくとも社内ルールは決めて扱ってください。
また、ルーターなど外部に接続する機器のファームウエアはこまめにアップデートすること、社内で使うPCのアップデートも忘れないようにしてください。

―テレワークする社員が気をつけることは?

本来でしたら「家族と同居している場合は独立した部屋で作業をする」ことが望ましいですが全員ができるわけではありませんよね。少なくともPCのモニタには目隠しフィルターを付けて覗き見を避けるようにしてください。

企業側がWi-Fiルーターなどを貸与できる場合は良いのですが、家庭のルーターを利用する場合は、ファームウエアのアップデートもしっかり行ってください。これはご自身と家族のためにもなります。

もうひとつ注意が必要なのがテレワーク明け。久しぶりの出社でPCを立ち上げたら、セキュリティが古いままで感染・・・ということもあります。テレワーク明けや、年末年始などの長期休暇明けの業務開始時には、溜まっていたメールを急いで処理するうちに、不審な添付ファイルをうっかり開封してしまう危険もあります。長期間不在にした後のPCの起動時には、OSのアップデートやウイルス対策ソフトの起動を確認してから業務を開始する必要があります。

―個人情報の漏洩はよく問題にもなりますよね?

そうですね。Pマークが取り消された企業も4社ほどあります。再委託禁止のデータ入力業務が実際は四次委託までされていた事件、委託先の従業者がデータを転売してしまった事件などがあります。

難しいですが、社内とは違い常に目が届くわけではないだけに、委託先のデータの扱い方も注意して見る必要があります。

また、情報を破棄する際が一番危ないとも言われています。「捨てるものだから」と少し扱いが雑になってしまう事があるようです。

テレワーク中に個人情報をプリントアウトして持ち帰る際なども、利用後にはルールに従い社内に戻したり、シュレッダーで細断処理したりと、最後まで責任を持ち処理するように気をつけてください。

個人情報保護委員会のサイトにはテレワーク中の事故事例も掲載されています。
https://www.ppc.go.jp/news/careful_information/telework/
目を通しておくと良いと思います。

COMPANY PROFILE

株式会社ウェルベリー

Web Site