オフィスセキュリティマーク認証基準

オフィスセキュリティマーク認証基準

認証基準の概要

オフィスセキュリティマーク認証基準は、認証を受けようとする申請組織のオフィスセキュリティマネジメントシステム(OSMS)の適合性を審査する基準となります。
従って、認証取得をしようとする組織は認証基準の要件を満たす必要があります。

オフィスセキュリティマーク認証基準は、オフィスに存在する重要な経営資産をどのように保護すべきかを明確にしたもので、計画・構築から維持・改善までのPDCAに沿って網羅的に整理されています。
この基準を具体的に実践するために細則が定められており、認証に適合するためには細則に定められた事項を充足する必要があります。また、推奨という項目があり、認証審査の基準とはなりませんが、より望ましいレベルのセキュリティ対策を行うための関連事項が記載されています。

オフィスセキュリティマーク認証基準(Ver.3.0)の項目

  • 1. 適用範囲
  • 2. 用語及び定義
  • 3. 一般要求事項
  • 4. 計画・構築
    • 4.1 オフィスセキュリティ基本方針
    • 4.2 オフィスセキュリティ管理体制
    • 4.3 オフィスセキュリティ管理規程
    • 4.4 保護対象資産の分類及び保管・保存
    • 4.5 エリアのレベル設定
    • 4.6 エリアにおけるセキュリティ対策
  • 5. 導入・運用
    • 5.1 従業員等の管理
    • 5.2 重要度2以上の保護対象資産の管理
    • 5.3 書類及び電子媒体等の管理
    • 5.4 情報通信機器及び装置等の管理
    • 5.5 情報通信システム等の管理
    • 5.6 鍵の管理
    • 5.7 配送物の管理
    • 5.8 外部委託先等の管理
    • 5.9 外部保管・保存の管理
  • 6. 点検・監査
    • 6.1 入退室記録
    • 6.2 点検
    • 6.3 監査
  • 7. 維持・改善
    • 7.1 経営者による見直し
    • 7.2 維持及び継続的改善
    • 7.3 事業継続管理

<オフィス空間におけるセキュリティレベルの概念>

図:セキュリティレベル

■セキュリティエリアは、低次なレベルから高次なレベルへ入れ子の状態とすることが理想です。

図5-8:セキュリティエリア

<経営資産の重要度による分類基準>

オフィスセキュリティマーク認証基準において、その重要度に応じて経営資産を3段階に分類することが定められており、具体的には以下のとおりとしています。

  • ① 重要度1の保護対象資産は、事件、事故、違反または災害等により、漏えいまたは損失等が生じた場合において、業務への影響が少ないと想定される経営資産であること。
  • ② 重要度2の保護対象資産は、事件、事故、違反または災害等により、漏えいまたは損失等が生じた場合において、業務に大きな影響を与える可能性のある経営資産であること。
  • ③ 重要度3の保護対象資産は、事件、事故違反または災害等により、漏えいまたは損失等が生じた場合において、事業の継続に大きな影響を与える可能性のある経営資産であること。

図01B:保護対象資産の分類

漏えいまたは損失等が生じた場合における業務への影響や事業継続への影響度合については、収益・資産に与える影響、顧客への影響、社会に与える影響の大きさにより判断します。

<事業継続・業務に与える影響例>

収益・資産影響度 顧客影響度 社会的影響度
資産価値の喪失
機会利益の逸失
復興・復旧費用
売上減少
取引停止
保証・損害賠償
 顧客の損害(金銭的・精神的)
被害者の数
顧客離反の可能性		 ブランド価値の低下
社会的信頼の低下
株価の低落
与信の低下
消費者の反応
マスコミの関心度
風評被害

<重要な経営資産の例>

経営資産の重要度による分類にあたっては、下記に示す経営資産は重要度2もしくは3に分類する必要があります。

  • ① 高額な現金、有価証券等。
  • ② 社印、代表者印、銀行印等の印章類。
  • ③ 下記のような重要な情報を記録している書類、電子媒体又は情報通信機器。
    ・法令で保存が定められている書類等。
    ・個人情報に係わる顧客情報、人事情報等。
    ・経営にかかわる計画書、財務上のデータ等。
    ・事業活動における重要な契約書等。
    ・知的財産としての価値の高い新規開発製品、事業情報等。
    ・その他秘密として管理されている事業活動に有用な経営上の情報等。

お問い合わせ・FAQ

ご相談・お問い合わせ

問合せ・申請書類請求/送付先

〒104−0043 東京都中央区湊2-4-1 TOMACビル3F
一般社団法人ニューオフィス推進協会 オフィスセキュリティマーク事務局
電話: 03-3553-3471
FAX: 03-3553-3470
お問い合わせ

オフィスセキュリティマーク認証制度に関するFAQ

認証制度、認証手続、運営等に関する事項

申請組織は申請業務支援料を払わなくても良いのか。
払わなくても良い。オフィスセキュリティマーク申請図面(以下、申請図面)及びオフィスセキュリティマーク認証基準チェックシート(以下、認証基準チェックシート)作成については申請組織の費用負担はない。申請組織が認証取得後、NOPAからコーディネータに支払う。(コーディネータの旅費交通費の負担はある)
申請組織のオフィスが同一ビルの複数階にわたる場合の認証は可能か。
同一ビルの複数階にわたるオフィスを一括で認証申請することは可能。
PマークやISO27001は審査機関が複数あるが、オフィスセキュリティマーク認証制度(以下、本認証制度)はNOPAだけが審査機関か。
NOPAだけが審査機関。
オフィスセキュリティマーク認証申請書(以下、認証申請書)に記載が求められている申請組織のURLは必須か。
会社概要の提出が必須となっている認証制度もあるが、本認証制度ではそこまでは求めていない。しかしその代用として会社概要等が確認できるホームページのURLの記載を求めている。ホームページが無ければ空欄でよい。
認証申請書に記載する必要があるコーディネータの住所は、自宅住所でなければならないか。
原則は自宅住所だが、確実に郵便物等が届けば会社住所でも可。
申請業務支援契約書の契約主体名はコーディネータ個人のみか。所属企業でもOKか。
コーディネータ個人のみとする。理由は次の通りである。
  • ① コーディネータ資格はあくまでコーディネータ個人に付与しており、所属企業に付与したものではない。よって資格の無い所属企業とお客様企業との間で申請業務支援契約を締結しても意味のない行為となる。
オフィスセキュリテイロゴマークをセキュリティレベル3エリアの戸や金庫に貼っても良いか。
基本的にオフィスセキュリテイロゴマークは製品に貼ることはできないが、看板等に貼ることは認めており、戸には貼って良い。その意味で金庫の扉に貼ることは良い。具体的には、ロゴマーク使用規程を参照のこと。
名刺にコーディネータの称号を記載する際、オフィスセキュリテイロゴマークをつけて良いか。
オフィスセキュリテイロゴマークは認証取得組織に使用許諾するものであるため、コーディネータの称号を記載する名刺等には使用できない。
従業員等識別証管理台帳について。
認証基準チェックシートの「1−2申請書類」ではその作成が必須となっているが「14−1従業員等の識別管理」ではその作成が必須となっていないため必須とはしない。
オフィスセキュリティコーディネータマニュアルに記載されている内容を提案書等に引用しても良いか。
引用して良い。
認証取得後、次の更新までの4年の間に、レイアウト変更をした場合、報告する必要があるか。
認証基準に不適合になる場合は、報告する必要がある。
オフィスセキュリティマークの使用制限はあるか。
オフィスセキュリティロゴマーク使用規程に準拠する必要がある。
オフィスセキュリティコーディネータの名称を名刺に記載する場合の制限はあるか。
名称は「オフィスセキュリティコーディネータ」で、この他に「登録番号○○○○○○○○」をつけることができる。ただし、オフィスセキュリティマークを併記することはできない。

認証基準及び認証基準チェックシートに関する事項

窓ガラスの強度に関するセキュリティ上の条件がない。オフィスセキュリティ上重要ではないのか。
認証基準チェックシートでは直接窓ガラスについて言及していないが、「4−1−1申請エリアの境界は、外部からの不正侵入等に対して堅牢である」に関する詳細確認事項に次のような事項がある。「境界の壁は容易に移動、倒壊しない又は破壊されないもの(外壁、間仕切壁等)で、外部から侵入できないものであることを確認した」。この規定に窓ガラスも含む。
1枚のカード(ICカード等)を複数社員で共用して、そのカードによってアクセス記録をとる場合、それは認証基準にあるアクセス記録とみなされるか。
アクセス記録となる。ただし、そのカードを共用している社員のリスト(カード管理台帳等)は必要。
共連れによる入退室の防止のためにはフラッパーゲートなどの重装備が必須となるがどう考えるか。
共連れを行う場合の遵守規定もしくは共連れ禁止規定と、それに違反した場合の罰則規定があれば良い。フラッパーゲートまでは求めない。
「3-6-1 従業員からの秘密保持に関する誓約書を受取っていること」は、セキュリティレベル2及び3エリアにアクセスできる従業員に限定して良いか。
全従業員の誓約書が必要である。または、全従業員を対象とした秘密保持に関する規程類が必要である。
デジタル媒体にハードディスクは含むか。
含む。
廃棄物を外部に持ち出して別の場所で廃棄する場合、廃棄物を外部に出す時点で確認を行う必要があるか。
オフィスセキュリティ管理責任者等の確認及び了解を得る必要がある。
カメラの扱いが明確ではない。
各セキュリティレベルエリアでは作業指針を作成し遵守することを求めている。カメラの取扱いはその作業指針に含めるべきものである。また常に重要度の高いデータが保存されている場合、デジタル媒体として判断する。

申請図面作成要領に関する事項

認証にはセキュリティレベル3エリアの存在が必須となっているが、申請図面からはセキュリティレベル3エリアが含まれている否かはわからない。コーディネータを通さない場合は認証委員会の現地審査があるが、コーディネータを通す場合は基本的にコーディネータを信用すると考えて良いか。
良い。コーディネータに対する信用が前提となっており、コーディネータには認証審査の一部を担っていただいている。具体的には、認証基準チェックシートにセキュリティレベル3エリアの存在を確認する項目があり、そこでチェックしてもらうことによりその存在を確認する。
ラテラルの引出しごとに施錠できるタイプの保管庫があるが、その場合申請図面には引出し毎に採番が必要か。
原則として鍵単位で採番する。
図面の縮尺は1/100もしくは1/200でなくてはならないか
厳密に要求していないが、1/100もしくは1/200が望ましい。