プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2020年02月

remote_work
(写真は在宅勤務のイメージです)

皆さんこんにちは。
プライバシーザムライ中康二です。

新型コロナウイルスの流行により、急に注目が集まる「在宅勤務」。
今や事業継続に必須と言ってもいいかも知れません。

そこで時々ある話が「プライバシーマークを取得している企業として、
ISMS認証を取得している企業として、在宅勤務は許されるのか」ということです。

今の状況を踏まえて、私はプライバシーマーク・ISMSの専門家として、
これにお答えしておきたいと思います。

また、プライバシーマーク・ISMS認証を取得している自社で
在宅勤務だけではなくリモートワーク全般に貪欲に取り組んできてますので、
そこで得られた経験から分かっていることにも少し触れてみたいと思います。

(1)プライバシーマーク・ISMS取得企業だからといって
 在宅勤務できないということは「全くない」。


いきなりの結論ですが、プライバシーマークやISMS認証を取得しているからと言って、
在宅勤務ができないということは全くありません。

御社では、社員が出張する際にメールが読み書きできるような仕組みはありませんか?
ありますよね。それと同じ仕組みを全社員に横展開すればいいのです。

情報セキュリティの観点から捉えるならば、在宅勤務も出張も同じです。
むしろ在宅勤務のほうが場所が限定されますから、容易といえましょう。

「いやいやそんなのは全社員分はないんだよ」
「いやいやメールは読み書きできるけど、業務システムが使えないんだよ」
というような声があるかも知れません。

しかし、一部の社員でできているのであれば、環境の整っている人から始めて、
少しずつでも範囲を広げていけばいいということになります。

また、業務システムを在宅勤務で使えるようにするのには、
システム的な対応が必要な場合も出てくると思います。
毎日使うようなシステムについては、なるべく早く対応することとし、
年に一回しか使わないようなシステムについては、出社した時に使うということで
問題ないと思います。

いずれにせよ、プライバシーマークやISMS認証を取得しているからと言って、
在宅勤務ができないということにはなりません。

※もちろん、コールセンターのように顧客の個人情報を集中的に取り扱う業務や、
接客/販売/物流/製造のようなリモートでは実現不可能な業務は除きます。

(2)多くのプライバシーマーク・ISMS取得企業が在宅勤務を「実施している」。

これまでに多くの企業が今回の事態への対応として、
在宅勤務の実施を発表していますが、その中にはプライバシーマークやISMS認証を
取得している会社も含まれています。

GMOインターネット(ISMS取得済み)
ヤフー(ISMS取得済み)
NEC(プライバシーマーク、ISMS取得済み)
コロプラ(ISMS取得済み)
Hamee(プライバシーマーク取得済み)
NTT東日本(ISMS取得済み)
など

これらを見ても、プライバシーマークやISMS認証を取得しているからと言って、
在宅勤務ができないわけではないことが分かると思います。

(3)テレビ会議は意外と大変、メール/チャット/電話で回そう

ここから急に現実的な話になります。

在宅勤務というとテレビ会議をイメージされる方が多いと思うのですが、
これが意外と大変なんですよ。

いざテレビ会議を行おうとすると「ハウリングとの戦い」が始まります。
スマホで一対一の「テレビ電話」をするのはかなり簡単ですが、
業務を行うための「テレビ会議」にしようとすると大変なんですよ。

また、自宅の様子を見られたくないとか、在宅なのに着替えないといけないのか、
化粧しないといけないのかみたいな話もあります。

様々なご意見があると思いますが、私が一つだけ助言したいのは
「在宅勤務にテレビ会議は必須ではない」ということです。

むしろ、メール/チャット/電話を使いこなす方向性で考えたほうが
うまくいくと思います。これは私からの経験を踏まえたアドバイスです。

(参考リンク)
新型コロナウイルス対策としての在宅勤務ノウハウ
テレワーク専門家からの「こだわり」を捨てたアドバイス
https://jbpress.ismedia.jp/articles/-/59428

テレビ会議を劇的に円滑にする簡単なノウハウ
https://kuranuki.sonicgarden.jp/2018/03/tv-meeting.html

今の状況の中で、この情報が皆さんの参考になればと思います。

神奈川県

皆さんこんにちは。
プライバシーザムライ中康二です。

神奈川県は、行政事務に使用していたサーバー用HDDが、データを消去されないまま外部に流出していたと昨年12月に発表し、大きな話題を呼びました。この事件はその後、リサイクル会社の社員が不正に持ち出してオークションで販売していたことが発覚し、さらに問題が拡大していきました。

その震源地となった神奈川県が、このたび再発防止策を発表しました。

神奈川県が発表した再発防止策を大まかにまとめると、下記のようになります。

(1)サーバー用HDD/SSD

 ・県職員がデータ消去ソフトウェアを使用して消去する
   ↓その後
 ・委託業者が磁気破壊かつ物理破壊する
   ↓その後
 ・産業廃棄物として処理

(2)パソコン用HDD/SSD

 ・県職員がデータ消去ソフトウェアを使用して消去する
   ↓その後
 ・委託業者が再びデータ消去ソフトウェアを使用して消去する
   ↓その後
 ・リース会社に返却(再利用される)

(3)タブレット(iOS)

 ・県職員がOS標準の初期化ツールを使用して消去する
   ↓その後
 ・委託業者がOS標準の初期化ツールを使用して消去する
   ↓その後
 ・リース会社に返却(再利用される)

神奈川県庁Webサイト
https://www.pref.kanagawa.jp/docs/fz7/cnt/p0273317.html
再発防止策のPDF
https://www.pref.kanagawa.jp/docs/fz7/cnt/documents/boshisaku.pdf

(私のコメント)
HDDの廃棄対策について、皆様の職場ではどのようにされていますでしょうか?
今回の神奈川県の再発防止策には
「職員自らがデータ消去する」
「サーバー用HDDは再利用しない」

という大原則が見えます。

今後、この2つが常識となっていくのではないかと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




↑このページのトップヘ