Pマーク運用上で生成される情報に対しても保護対策を

プライバシーマーク（Pマーク）は会社で取り扱う個人情報を守るためのしくみですが、このしくみを運用するうえで新たな個人情報やその他の情報が作り出されることもあります。

そのような新たな情報に対してもやはり情報保護の措置が必要となります。以下の2つの事例を考えてみましょう。

入退記録が情報事故のもとにならないために

「入退記録」とは会社の事務所に来訪する外部の人の入退室を記録するもので、通常は氏名や会社名、入退室時刻、来訪目的などを記入します。

プライバシーマーク（Pマーク）では会社の個人情報を保護するために来訪者（エリアによっては従業員も）の入退室を記録することが望ましいとされています。

入退室を記録すること自体は適切なことなのですが、運用方法が不十分だとその記録から個人情報が第三者に漏れてしまうこともあるので気を付ける必要があります。

たとえば入退記録の用紙を入り口に設置し、同じ一枚の紙に来訪者が上から順に氏名をはじめとする個人情報を書き込んでいく形式にしているとどうでしょうか？ 後から来訪した外部関係者はその前の来訪者の情報を見ることができるのではないでしょうか？　「今日は××会社の○○さんも来たんだ」ということになるかもしれません。

企業間では時に取引関係にあることを外部に知られたくない場合もあります。そういった場合に上記のようなことが起こると、それは見過ごせるレベルではない情報事故となります。

プライバシーマーク（Pマーク）取得会社はこのようなリスクも考慮して入退室管理手順を定めるべきです。

入退記録も一覧のような様式に記入させるのではなく、個々の来訪者ごとに記入させるような入退記録票を用意するのは一つの方法かもしれません。

外部関係者の入室が少ないエリアにおいては従業員が記入または入力する方法をとることもできるでしょう。

別の事例も考えてみましょう

従業員の社内ネットワークへのアクセスの管理状況を明確にするためにいくつかのエビデンスを作成することがプライバシーマーク（Pマーク）取得会社には要求されています。

その中にはアカウント管理記録があります。「アカウント管理記録」とは従業員に対して発行しているIDやパスワードの情報を保管しているデータベースで、たとえばクライアントコンピュータ起動、ネットワーク接続、電子メールのために利用されるアカウント情報などが含まれるかもしれません。

言うまでもなくこのデータは極めて高い機密性が求められるもので、絶対に権限を持つ管理者以外に閲覧されてはならないものです。

もしもアカウント管理記録の管理がいい加減だと、普通の従業員や、最悪の場合社外のだれかがそのデータにアクセスし、アカウント情報を盗み見てしまうかもしれません。

アカウント管理記録が情報事故のもとにならないために

このような情報事故を避けるための対策としては暗号化の措置を講じる、あるいは平文で記録するとしてもパスワードをかけるなどの方法があります。決して管理者以外がデータにアクセスしたり内容を更新したりすることがないように管理しましょう。

まとめ

プライバシーマーク（Pマーク）運用において生成される情報に対しても既存の個人情報と同等以上の管理がなされるようにしてください。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】