第9回 トラブルの火種を極小化する社員との契約:会社を強くする経営者のためのセキュリティ講座(2/2 ページ)
社員が入社する際にさまざまな契約を会社との間で取り交わします。文書で確実に取り交わすことで将来のトラブルの火種を極小化できるでしょう。今回は情報セキュリティの視点で、経営者が考慮すべき内容を解説します。
ロッカーの探索
50人ほどのある会社で、「従業員が顧客情報をUSBメモリのようなものにコピーしたに違いない」と経営者が思い込み、社内のロッカーをくまなく探索するという事件が実際にありました。その経営者は、「メールが許されるのだからロッカーだって同じだ。会社の物だし、中を調べて何が悪い」と話していました。しかし、これは絶対にしてはいけません。
ロッカーは「私物を保管して社内に持ち込まない」ためのものです。メールとは違い、そこに「私物がある」という前提条件が存在します。それにもかかわらず、本人の了解を得ることなく内部を探索する権限は経営者にもありません。こうしてしまうと、仮に相手が限りなく疑わしい人物であっても、会社としてのその後の対応が困難になり、会社にとっては極めて不利な状況になってしまいます。「勝手に私物を調べられ、プライバシーが侵害された」と告訴されたら、会社側に勝ち目はありません。
サーバルームでの持ち物検査
企業などのサーバルームの中には、IDカードで入退出を管理しているところでもガードマンを配置して、持ち物検査を実施しているところがあります。この場合も全従業員に対して、事前に合意をとっておくべきです。法的にも効果のある形で就業規則やプライバシーポリシーにしっかりと記載することが望ましいのですが、合意書や誓約書に明記しておくことでも良いでしょう。
実際に検査を行う場合は、サンプリングチェックか、時間帯を決めて実施しているケースが多く、入退室する全員を対象に24時間体制で実施しているケースはほとんどありません。また、ガードマンは「男性+女性+ほか1人」の計3人体制が最小ですが、できれば「男性2人以上+女性2人以上」の体制が望まれます。男性のガードマンに女性の持ち物を検査させてはいけません。訴訟の対象になります。
セキュリティからみた合意書の内容
会社と従業員が取り交わす文書の書類は、名前だけをみても「合意書」「誓約書(情報セキュリティ編)」「ネットワーク関連誓約書」「個人情報保護取扱い合意書」「私的利用制限誓約書」「入社時合意書(個人情報、セキュリティ関連)」などさまざまです。書類は事象ごとに切り分けても良いでしょうし、一括したものにしても構いません。
情報セキュリティに関する文書としては、以下のようなものを用意しておくべきでしょう。
- 社内メールの閲覧に関する合意を求めるもの
- PCのWeb履歴やアクセスログの閲覧に関する合意を求めるもの
- 添付ファイルの内容閲覧の合意を求めるもの
- メール上の制約(例えばCCに上司を指定するなど)の合意を求めるもの
- PC内部に情報漏えい防止ソフトをインストールしているということの合意
- 社内倫理委員会の合意の上で使用PCのフォレンジック調査について合意を求めるもの
- 正当な事由の基、本人合意により机の中、ロッカー、自宅PCの調査を行う場合がある旨の合意を求めるもの
しかし、これらの文書は万能ではありません。あくまで犯罪や事故を回避するための正当な会社の動きを側面で支援するものであり、文書に絶対的な力がないことにご注意ください。
萩原栄幸
一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。
情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.