- グループ会社と個人情報を共有しているが、グループ会社もプライバシーマーク(Pマーク)を取得するべきか知りたい
- 同一フロア内にグループ会社も入っているが、何か気を付けることはないか知りたい
自社にグループ会社がある情報システム担当者の中には、そのような疑問をお持ちの方もいらっしゃると思います。
この記事では、グループ会社を持つ会社が、Pマーク取得において気を付けることや、グループ会社間で行うべき対処について解説します。
これからPマークの取得を検討している担当者は、ぜひこの記事を参考にして、グループ会社間で考えられる漏洩リスクと、グループ会社への対処内容を事前に確認しておいてください。
目次
Pマーク取得において、グループ会社に関して気を付けること
Pマーク取得において、グループ会社に関して気を付けることは下記の通りです。
- 同一フロアにグループ会社が存在するか
- グループ会社と個人情報をやり取りするか
それぞれ順番に解説します。
同一フロアにグループ会社が存在するか
同一フロアにグループ会社が存在する場合、個人情報の取扱いには注意が必要です。
何気ない行動から、意図せずに自社が保有する個人情報が、グループ会社へ漏洩するリスクが高くなるからです。
例えば、フロア内を歩いて移動する際に、個人情報が記載された紙媒体や、個人情報を保存した電子記録媒体を持っていた場合、それらをうっかり落としてしまうことによって、落した紙媒体や電子記録媒体が、同一フロアのグループ会社へ漏洩する可能性があります。
また、同一フロアにグループ会社があるということは、グループ会社社員の座席の位置やフロアの通路から、自社の個人情報を扱う端末画面が見れてしまう場合もあり、グループ会社へ個人情報が漏れてしまうことも考えられます。
そのため同一フロアにグループ会社がある場合は、自社とグループ会社を何らかの方法で物理的に隔てる必要があります。
グループ会社と個人情報を情報をやり取りするか
グループとしての企業活動を行うためには、自社とグループ会社で個人情報を共有し協業することも少なくありません。
その場合、自社だけでなく、同じ個人情報を取り扱うグループ会社に対しても、Pマークの認証を取得するべきです。
なぜなら、グループ会社による個人情報漏洩の影響を大きく受ける可能性があるためです。
例えば、通販会社のコールセンタを行う会社と、そのコールセンター会社が電話で受注した商品を発送手配する事務処理を行うグループ会社があった場合、商品を受注すると、コールセンター会社は、発送手配する事務処理を行うグループ会社と、お客様情報を共有することになります。
もし、グループ会社のセキュリティシステムがずさんで、外部からハッキングを受け、商品発送対象リストが外部に漏洩すると、注文を受け付けたコールセンターである自社の信用も失うことになります。
グループ会社と個人情報の共有を行うケースがある場合は、グループ会社のPMS構築も必須です。
Pマーク取得においてグループ会社間で行うべき対処
Pマーク取得においてグループ会社間で行うべき対処は下記の通りです。
- グループ会社との機密保持契約の締結
- 同一フロアにグループ会社がある場合は、パーテーションなどで区切る
- 従業者の入退室記録の作成
- 来訪者の入退室記録の作成
それぞれ順番に解説します。
グループ会社との機密保持契約の締結
業務上、グループ会社と個人情報を共有する必要がある場合は、グループ会社と「機密保持契約」を締結しましょう。
「機密保持契約」とは、自社がもつ機密情報を他社に開示する場合、その情報を「機密に保持してもらう」ために締結する契約のことです。
機密保持契約は、情報を開示する前に締結するのが一般的ですが、情報を機密に保持するための方法や、使用目的、期間、情報の返還方法、条項に違反した場合の損害賠償の内容などを取り決めます。
機密保持契約をグループ会社と締結しておくことは、もしグループ会社で漏洩があった場合、グループ会社が自社に対して損害賠償しなければならないリスクを負うことになるため、グループ会社側への情報取り扱いの意識を高めることにつながります。
同一フロアにグループ会社がある場合は、パーテーションなどで区切る
同一フロアにグループ会社がある場合は、パーテーションなどでグループ会社との境界を作りましょう。
なぜなら、前述の通り、グループ会社社員の座席の位置やフロアの通路から、自社の個人情報を扱う端末画面が見れてしまう場合もあり、そこから個人情報が漏洩する可能性があるからです。
区切りは、誰が見ても明確に分かるようにパーテーションで境界の線引きをします。
もしパーテーションの利用が難しい場合は、書庫で区切ったり、立札で明示するのもよいです。
また、自社が無人となる時間帯にグループ会社の人間が個人情報に触れることがないよう、個人情報を保管している書庫は、必ず施錠を行います。
さらに、できればグループ会社の社員向けに、個人情報保護に関する研修などの教育が実施できればなお良いでしょう。
(参考:個人情報保護委員会「個人情報保護法に関する法律についてのガイドライン(通則編)」HTML版ー「10-5 物理的安全管理措置」)
従業者の入退室記録の作成
個人情報を取り扱っている自社フロアへの入り口には、従業者の入退室記録簿を作成し、1日の中で「最初に入室した人の名前と時間」、「最後に退室した人の名前と時間」を、証跡として残すようにしましょう。
なぜなら、夜間に侵入等の事件が発生した場合に、後追いでその日の状況を確認できるためです。
夜間に侵入等の事件が発生した場合に、入退室記録があれば、犯行時刻の特定につながります。
(参考:個人情報保護委員会「個人情報保護法に関する法律についてのガイドライン(通則編)」HTML版ー「10-5 物理的安全管理措置」)
来訪者の入退室記録の作成
個人情報を取り扱っている自社フロアへの入り口には、来訪者の入退室記録簿も作成し、入室した来訪者の名前と目的、入室時間、退室時間を、証跡として残すようにしましょう。
なぜなら、就業中に個人情報の盗難・紛失等の事件が発生した場合、その時社内に誰がいたかを特定できるからです。
来訪者は、従業者を除く「すべての人」が対象で、宅配業者、取引先のほか、グループ会社の社員も含みます。
(参考:個人情報保護委員会「個人情報保護法に関する法律についてのガイドライン(通則編)」HTML版ー「10-5 物理的安全管理措置」)
まとめ
この記事では、グループ会社のある企業がPマークを取得する際に気を付けることや、グループ会社間で行うべき対処について解説しました。
Pマーク取得において、グループ会社に対して気を付けることには、
- 同一フロアにグループ会社が存在するか
- グループ会社と個人情報をやり取りするか
という点が挙げられます。
グループ会社がある企業は、グループ会社間での情報の行き来が発生しうることを考えて、個人情報の漏洩を防ぐ対策を講じる必要があります。
そのための対策として、
- グループ会社との機密保持契約の締結
- 同一フロアにグループ会社がある場合は、パーテーションなどで区切る
- 従業者の入退室記録の作成
- 来訪者の入退室記録の作成
などを行います。
オプティマソリューションズでは、グループ会社との情報のやり取りがある企業様からの、Pマーク取得に関するご相談もお受けさせていただいております。
また、弊社では、Pマークのグループ会社同時取得をサポートさせていただいた実績もあります。
グループ全体の業務の流れをもとに、それぞれの会社でPマーク取得に必要となるPMSの構築をサポートいたします。
「自社にグループ会社があり、これからPマークの取得を検討している」、「すべてのグループ会社でPマークを同時に取得したい」とお考えの担当者は、ぜひオプティマソリューションズまでお問い合わせください。
Pマーク取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の20年間で3,500件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談ください。