Pマークにおけるアクセス権限表

会社の中だからといってすべての従業員が社内で管理されているすべての個人情報にアクセスできる状況を許してよいわけではありません。

個人情報流出の原因

個人情報流出に関連した近年の事件について言うと、残念ながら内部犯行である場合も少なくなく、そのような場合に大抵問題になるのは、本来ならアクセスする必要のない社内関係者すなわち従業員などが無制限に個人情報にアクセスできる状況であったという点なのです。

プライバシーマーク（Pマーク）では個人情報にアクセスできる人間を“社内でも”最低限のものとし、それによって個人情報の不必要な閲覧や利用を制限することが求められています。

アクセス権限表はありますか？

では各プライバシーマーク（Pマーク）取得会社が社内の個人情報へのアクセスを適正に管理しているかどうか、更新審査などではどのように確認されるのでしょうか？ 実際の運用現場に加えてアクセス権限表などが作成されているかを確認されることがあります。

「アクセス権限表」とはプライバシーマーク（Pマーク）取得会社内における個々の関係者または関係部門のアクセスの可否また権限の種類を一覧にした文書のことです。

もちろんどのような形式や名称でアクセス権限表を作成するかはそれぞれのプライバシーマーク（Pマーク）取得会社の自由なのですが、必要なことはアクセス権限を明確化しておくことです。

どのような内容のもの？

アクセス権限表とは実際にはどのように作成すればよいのでしょうか？ 繰り返しになりますが、社内のアクセスの権限の内容が明確であればそれでよいのですが、ここでは参考にできる一つの例を挙げます。

まず表を作成し、縦の列にはアクセス制御の対象となる個人情報を列挙します。そこには大項目として各サーバ（Webサーバ、ファイルサーバなど）名を挙げ、その下に小項目として個々の具体的な個人情報カテゴリを挙げることができるかもしれません。

次に横の行には個人情報にアクセスする社内関係者を列挙します。部門ごとや階層ごとにアクセス権限を分けることができるかもしれませんし、担当者ごとにアクセスの内容を記載する必要があるかもしれません。

そしてそれぞれのマスにアクセスを許可するかどうかをしめす“○”などの記号を記載します。ただしアクセスに関連する権限も複数あります。「閲覧」、「変更」、「複製」、またすべての権限を有する場合などです。よって権限の内容も分かるように記号分けをするのがよいでしょう。

まとめ

以上がプライバシーマーク（Pマーク）におけるアクセス権限表の作成方法の例でした。

どのようなアクセス権限の設定が適切かは各プライバシーマーク（Pマーク）取得会社の規模によっても大きく異なります。規模が小さなプライバシーマーク（Pマーク）取得会社であれば全従業員がアクセス権限を持たなければならない場合もあるでしょう。今回の記事で述べた内容はそのような運用を否定するものではありません。

いずれにしても会社の業務の現状に合ったアクセス制御を実施して会社の個人情報を保護するように努めましょう。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】