推奨される取り組み

7 従業者との契約

設問

従業者(派遣を含む)に対し、採用、退職の際に守秘義務に関する書面を取り交わすなどして、セキュリティに関する就業上の義務を明確にしていますか。

(従業者に情報セキュリティについての要求を順守させるためには、従業者の管理責任者を明確にし、従業者が守るべきルールなどを明確にし、それらを周知させておく必要があります。)

説明

すべての従業者に対して、採用や退職の際に、セキュリティ上の義務や、退職後の守秘義務など、セキュリティ上の順守事項を誓約させることで、注意義務を自覚させるとともに、就業規則や服務規律などに明示するなどして、情報セキュリティ対策に実効性を持たせます。さらに、退職や異動に際しては、貸与した資産の返却を確認すること、付与したアクセス権限を削除することも大切です。

対策のポイント

1.従業者(派遣を含む)を採用する際に、経歴、資格などが職務にふさわしいかを十分に審査し、さらに守秘義務契約を締結しているか
2.雇用契約時に、セキュリティ上の義務を明示しているか
3.就業規則ないし服務規律に、従業員が順守すべき事項を明示しているか
4.退職に際して、情報資産の返却確認やアクセス権限の削除を確実に行っているか
5.退職に際して、退職後における守秘義務を退職予定の従業者に再確認しているか
6.セキュリティ違反を犯した従業員に対する懲戒手続を整備しているか
7.採用から雇用、退職まで、従業員の管理を行う体制と責任が明確になっているか

解説

情報セキュリティ対策の基本の一つは、人のマネジメントです。すべての従業者に対して、採用や退職の際に、情報セキュリティ上の義務や、業務上知りえた機密情報を(退職後も)外部に漏らさないことなど、セキュリティ上の順守事項を誓約させることで、一人一人に情報セキュリティ上の注意義務を自覚させるとともに、情報セキュリティ対策を実効性のあるものにすることができます。具体的には、従業者(派遣を含む)の採用・退職に際して、業務遂行時の情報セキュリティ上の義務や、在職中及び退職後の守秘義務に関する書面を交わすことなどです。現在業務に携わっている従業員で、まだ守秘義務契約を交わしていない人についても、改めて書面を交わすとよいでしょう。

雇用契約時には、すべての採用者に対して、従うべき情報セキュリティ上の義務を明示してください。また、実際に業務に就く前に採用時の研修などでパスワードを扱う際の順守事項、ウイルス対策やOS・ソフトウェアの修正プログラムの適用を適切に実施すること、電子メールを使用する際の注意など、各人が守るべき事項について教育する必要があります。

就業規則ないし服務規律に、従業員が順守すべき情報セキュリティ上の要求事項を明示しておくことも必要です。定期的に就業規則ないし服務規律の順守状況をチェックし、順守されていない場合には、従業者に対して、順守の徹底を促すことも重要です。

従業員の退職時には、コンピュータや記憶媒体、書類などの情報資産が返却されたことや、その従業員のIDに設定されたアクセス権限が削除されていることを確認する必要があります。

従業員がセキュリティ違反を犯した場合には、相応に対応すべく、就業規則などに懲戒手続を定めておくことが望まれます。懲戒手続を設けることで抑止効果も期待できます。

さらに、これらの事項が適切に遂行されるように、人事管理の体制や責任について明確にしておくことが重要です。