投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.8.25
(更新:2024.4.3)
2023年11月22日付の日経新聞に、「貴金属業者に名簿転売か…情報流出 商品勧誘に使用?」といった題名で情報漏洩事案の続報が掲載されました。
通信系企業の子会社に派遣されていた従業員が2013年7月ごろから2023年1月ごろまで、USBメモリに顧客情報をダウンロードして持ち出し、名簿業者に転売していた事案です。
事案の当事者は、情報セキュリティ、殊に自らの「守秘義務」について十分に理解できていたとは言い難い状況と想像できます。
〇「5分でできる!情報セキュリティ自社診断」の設問より
IPA(独立行政法人情報処理推進機構)が公開する情報セキュリティチェックツール「5分でできる!情報セキュリティ自社診断」には、従業員やスタッフなど組織内部で働く人々の守秘義務の状況を確認する設問があります。
その設問19は、次のような内容です。
「№19:従業員に守秘義務を理解してもらい、業務上知り得た情報を外部に漏らさないなどのルールを守らせていますか?」
*「5分でできる!情報セキュリティ自社診断」ダウンロードはこちらから: https://www.ipa.go.jp/security/guide/sme/about.html
〇従業員に守秘義務について理解してもらう
従業員やスタッフなど組織内部で働く人々は、企業の秘密情報や、社内あるいはお客様に関する個人情報等を知り得る立場にあります。
そのため守秘義務や機密保持について、就業規則などで定められている内容は、従業員に明確に説明し正しく理解してもらう必要があります。
就業規則に守秘義務や機密保持について定めがなかったり、小規模な事業所等でまだ就業規則そのものがない場合は、守秘義務とは何か、自分たちにとって重要な情報とは何か、から説明し、きちんと理解・納得してもらった上で、秘密保持誓約書等に署名してもらう、といった対応が望ましいです。
(守秘義務や機密保持に関するルールは速やかに作成しましょう。)
〇守秘義務遵守に向けたポイント
・何が会社(事業所)の秘密情報なのか明確にする
・機密を守る方法も明確にする
・守られなかった場合の罰則も規定する
従業員に対し、どのような情報が守秘義務の対象になるのか明確にし、秘密情報であるのか否かを区別できるようにしておかないと、意図せず秘密情報・非公開情報を漏えいさせてしまう可能性があります。
どのような情報が守秘義務の対象になるのか明確になっていないと、万一内部不正が起こった場合、企業側が法的保護を受けられなくなる可能性もあります。
企業秘密を守るための手段や、行ってはいけないことなどを、なるべく具体的にわかりやすく周知する必要があります。
また、従業員が私的に利用するSNSやブログなどに、業務上知り得た秘密や個人情報を意図せずに書いてしまうと情報漏えいの原因となり、守秘義務違反ともなります。
そのため、勤務時間外や日常の守秘義務についても従業員への周知が必要です。
〇罰則を定める意義:罰する以前に意識づけや牽制効果がねらい
いろいろな意味で人間は弱い存在です。就業規則等で守秘義務違反に対する罰則を規定し、ルールに強制力を持たせることも、守秘義務遵守のためには重要です。
罰則の存在やその内容を明らかにすることで、守秘義務遵守の重要性が改めて認識でき、ルール遵守の意識を醸成・強化したり、違反行為を予防するための牽制効果が期待できます。
*以上参考:独立行政法人情報処理推進機構「5分でできる!情報セキュリティ自社診断 解説編」
〇定期的に情報セキュリティを学ぶ機会のご用意を
事業を営む経営者や事業主の方は、ビジネスの全責任を担っていらっしゃることから、情報セキュリティや、顧客をはじめとする関係者の個人情報保護に対する認識や意識は相対的に高いと言えます。
一方、従業員やスタッフの方は経営者ではありません。経営者や事業主の方と同様に情報セキュリティ意識を身に付けるためには、情報セキュリティの大切さを学ぶ機会がなければなりません。
従業員やスタッフの方の情報セキュリティ意識をたかめ、「守秘義務」を遵守できるよう、定期的に学習の機会をご用意いただくよう、強くお勧めいたします。
*関連ブログ:新人教育のカリキュラムには情報セキュリティもお忘れなく
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
また、IPAコンテンツを用いた情報セキュリティセミナーもご提供いたします。
詳しくはこちらよりお入りください。
Comments