社内で行う個人情報対策といえば、いわゆる情報セキュリティ対策がメインになります。
例えばアクセス制限やパスワード管理、セキュリティソフトの導入といったものです。
またJAPHICマーク取得企業では、物理的対策としてゾーニングにも力を入れるべきです。
今回は、JAPHICマーク取得企業が徹底すべきゾーニングについて解説します。
ゾーニングの概要
ゾーニングは、オフィス内の空間を機能や用途によって区分けし、それぞれに適切なセキュリティレベルを設定するというものです。
JAPHICマーク取得企業は、多くの個人情報を取り扱っています。
そのため個人情報漏えいを防ぐために、個人情報に関連するエリアを明確に区切り、各エリアに対策を設けなければいけません。
特にオフィスの規模が大きいJAPHICマーク取得企業の場合、ゾーニングがなければ個人情報漏えいのリスクは高まります。
JAPHICマーク取得企業におけるゾーニングのエリアとその対策
JAPHICマーク取得企業では、オフィス内のエリアを以下の3つに分け、それぞれ異なる個人情報保護対策を講じるべきです。
・機密情報エリア
・一般業務エリア
・来客エリア
各項目について詳しく説明します。
機密情報エリア
機密情報エリアは、JAPHICマーク取得企業にとって機密性の高い情報が保管されているエリアです。
ここでいう機密情報には、当然個人情報も含まれます。
具体的にはサーバールームやデータセンター、契約書の保管庫などが当てはまります。
またJAPHICマーク取得企業は、機密情報エリアへの一般従業員の立ち入りを制限しなければいけません。
基本的には企業の役員の一部、情報セキュリティ担当者以外は、入退室管理によるアクセス制限が必要です。
一般の従業員まで出入りを許可してしまうと、内部不正のリスクが高まります。
もちろん防犯カメラも設置し、万が一許可されていない人物の侵入が合った場合に備え、サーバーや保管庫にもシステム上または物理的なロックをかけておきましょう。
一般業務エリア
一般業務エリアは、JAPHICマーク取得企業に所属する人物であれば、誰でも立ち入ることができるエリアです。
ここでは主に一般の従業員が業務を行います。
ただし、一般業務エリアにおいても、個人情報を含む書類やデータなどは取り扱う可能性があります。
そのため、施錠可能なキャビネットを設置したり、個人情報を取り扱う従業員の範囲を限定したりといった工夫は必要です。
さらに、パソコンなど社内デバイスの使用に関するルールもマニュアル化し、周知させなければいけません。
来客エリア
来客エリアは、JAPHICマーク取得企業の取引先など、来客が立ち入ることを許可されたエリアです。
こちらはJAPHICマーク取得企業のオフィスにおいて、もっともセキュリティレベルが低いです。
しかし、一切個人情報対策を講じなくても良いというわけではありません。
例えば他のエリアの視認性や動線などを確認し、問題があればのぞき見や侵入などを防げるように徹底的に対策を取ります。
ゾーニングの注意点
JAPHICマーク取得企業がゾーニングを行う際は、従業員の動線や将来のレイアウトの変更を考慮しなければいけません。
従業員の業務における動線を考慮せずにエリア分けすると、業務効率が低下するおそれがあります。
また今後オフィスのレイアウトを変更する可能性がある場合は、転用性のあるエリア分けを行うことが望ましいです。
例えば適宜パーティションを設置するなどすれば、ゾーニングと今後の環境変化の両方に対応できます。
まとめ
ゾーニングを行わず、すべてのエリアで同じように個人情報対策を講じる場合、確かにJAPHICマーク取得企業全体のセキュリティ性は向上します。
しかし、個人情報対策を取る際は、あくまで業務に支障をきたさないようにしなければいけません。
そのため、ゾーニングを行ってそれぞれ適切なセキュリティレベルを維持するというのは、非常に効率的な選択肢だと言えます。
