top of page
検索
  • 執筆者の写真舩生 好幸
    • 1月22日
    • 読了時間: 5分

内外関係者との情報セキュリティに関するコミュニケーションの大切さ

更新日:1月24日

投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2024.1.23


〇近年の個人情報等の漏洩インシデントより

・H県A市:業務委託先の社員が、氏名や住所など住民基本台帳などのデータ44万件を市の許可なく媒体に複製して持ち出し。(2022年6月)


・大手通信会社N社子会社の元派遣社員が、約900万件に上る顧客データをUSBメモリで抜き取り、外部に提供。(2023年12月)


・独立行政法人C機構:事務局を委託していた人材派遣P社の元派遣社員に貸与していた業務用パソコンから約11万人分の個人情報が持ち出された可能性を公表。(2023年12月)


上記は、近年の個人情報等の漏洩のあった事案からピックアップしたものです。

これらのインシデントで共通するのは、正社員や正規職員ではない、派遣社員や委託先社員の行動が原因であったことです。


当事者の思想や価値観などに問題があったのでは? という考え方もできますが、一方で、雇用した企業や、業務遂行のため受け入れた発注者側からの、情報セキュリティの重要さや厳密さを理解してもらうための教育の徹底や情報提供等の対応に、今一歩、不足がなかっただろうか? という印象も、個人的には持っております。


〇私も派遣契約や業務委託契約で働きました

私も20代から30代のころ、派遣契約や業務委託契約に基づき、IT業界で現場のSEとして作業した経験があります。


またその後、内部監査部門に所属して現場の派遣契約や業務委託契約について点検(監査)も行いました。


それらの経験から、派遣社員や委託先社員等に対して、正社員や正規職員と同様な情報セキュリティ教育や、情報セキュリティに関する情報が与えられることは、案外容易ではないことを理解しています。


〇派遣社員や委託先社員の観点・経験から

派遣社員や委託先社員として働く立場に立つと、「十分な教育や情報も与えられず、とにかく現場に放り込まれる。」といった状況に陥る場合が往々にしてあると思います。


現場に送り出される際は、管理者から着任先の業務概要を記した資料が渡される、簡単なレクチャーを受ける程度。

着任すると、「よそ者」である私達には相手方の正社員と同等の情報は与えられず、情報は業務遂行に必要最低限に絞られています。


情報セキュリティに関するルールや、その遵守の重要性を説明する情報は、その職場で作業する人員であれば全員が共有し理解すべきものといえますが、派遣社員や委託先社員に対しては、そういったフォローが後手に回ってしまう場合もあり得ます。


それが、インシデントを起こした当事者に対して、雇用した企業や受入先企業等からの、情報セキュリティ面の教育や関連情報の提供などが不十分だった可能性があるのでは? それがインシデントの要因の一つにもなったのでは? と考えてしまう理由です。


〇派遣社員や委託先社員等へのフォローの難しさ

一方で、受け入れ先の職場の管理者が、派遣社員や委託先社員へのフォローの難しさから、歯がゆい思いを抱いている場合があることも知っています。


派遣契約に基づく派遣労働者であれば、派遣先の管理者に指揮命令権があります。しかし、そもそも別の企業に属する人員であるため、正社員や正規職員と同様の情報セキュリティ教育や関連する情報が与えられない場合(=情報セキュリティルール文書に対する機密性の設定が必要以上に高すぎる不備・考慮不足など)は往々にして発生します。


また、業務委託契約のもとで現場に着任する労働者に対しては、現場である発注先企業の管理者に指揮命令権はありませんので、情報セキュリティ教育等は受注側企業の指揮命令権者の指示に基づき実施されなければなりません。


現場である発注元企業の管理者にとっては「隔靴掻痒」の感もある、法制度上の不便な点ですが、法令に抵触するような行為があればその委託契約は「偽装請負」と判断されてしまう場合もあります。


〇中小企業向け「ガイドライン」が示す情報セキュリティ対策より

IPA(独立行政法人情報処理推進機構)が普及を推進する「中小企業の情報セキュリティ対策ガイドライン」では経営者に対して、


認識すべき3原則」の原則3において、「関係者とは常に情報セキュリティに関するコミュニケーションをとる」とあります。

(「中小企業の情報セキュリティ対策ガイドライン」第3.1版、P12ご参照。)


この原則を実務に即して捉えれば、委託先と受託先などの「経営者同士の対話」にとどまらず、現場の管理者同士や担当者同士の情報セキュリティに関するコミュニケーションや必要な情報の伝達も十分に行えるよう、経営者様は配慮し、常日頃より準備しておく必要がある、そう考えることもできると思います。


これらは、大規模な企業同士ではややもすると手間や時間のかかる対応になるかもしれませんが、小回りの利く中小の事業者様であれば、より素早く機動的に対応できる可能性も高いのではないか、そう思われます。


情報セキュリティインシデント予防の観点からも、中小の事業を営む経営者様は、こういった現場へのご配慮も、「関係者とは常に情報セキュリティに関するコミュニケーションをとる」一環と捉え、活動されると情報漏洩などのインシデントを防ぐ効果も高まるのではないかと思います。


(Primary-f/向実庵 代表)


<ご案内>

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。



画像出典:https://www.photo-ac.com
画像出典:https://www.photo-ac.com

閲覧数:22回0件のコメント

Comments

bottom of page