Pマークとファイアーウォール

どれぐらいの規模でどのような運用をされてるのかによると思います。 個人情報の存在する端末やサーバーが接続されているネットワークがインターネットに接続されてて、出入り口にファイアウォールが無い、だと、「合理的な安全対策を講じなければならない（ＪＩＳＱ１５００１／４．４．４．２）」に違反するとされる可能性があると思います。然し単に何台かのクライアントＰＣがインターネットに接続できるようにする環境ぐらいでしたら、クライアントＰＣごとにノートンインターネットセキュリティーとかウィルスバスター入れとくぐらいでもファイアウォール有りと言えます。ネットワークって言ってもサーバーが無いような環境だったらたぶんこれでも充分。具体的にファイアウォールが無いとダメという記述があるわけではないですし。 個人情報保護法で言う「個人情報データベース等」が入ってるサーバーが接続されてるネットワークがインターネットに繋がってて、ファイアウォールが無い、だと、Ｐマーク以前に４月から全面施行される個人情報保護法の安全管理措置義務（２０条、未施行）違反になると思います。 そういう場合はＰマークの審査でも「ファイアウォールはありません」とカミングアウトすると、認定もらえないと思います。現実には自分からカミングアウトしない限り審査でサーバールームの構成の実態審査まではしなかったと思いますけど。ちょっと自信ありませんが。 「業務上、ファイアーウォールを設置する事が出来ません。」の事情が詳しくわかりませんけど、ファイアウォールなんて安いのだと２万円ぐらいで売ってますし、Ｐマークはさて置きつけといたらいいんじゃないでしょうか？運用なんか設定でどうにでもできますよね？