情報管理に関するQ&A
事例をQ&A形式でまとめてみます。
就業規則等による情報管理への対応
情報管理対策とは?
事件・事故から会社を守るためには、どうすればいいのですか?
 |
就業規則等による情報管理への対応 官公庁が出している個人情報保護や営業秘密管理に関する指針をみると、安全管理の措置として従業員の監督に注力するよう書かれているのですが、具体的にどのようなことをすればよいのかわかりません。就業規則等の社内規則に何を定めればよいでしょうか。また、漏洩事件の場合、事件に関与した従業員に懲戒処分を行わなければならないと思いますが、そのために必要な作業として何が考えられるでしょうか? |
|
|
|
 |
就業規則では、就職時の雇用契約等に基づく、あるいはこれに付随する信義則上の秘密情報の保持義務を明確化することになるが、個々の対応を定めるのが難しい場合もあるため、詳細は服務規程や情報取扱規程等に別途定める旨規定し、こちらで対応する方法もあります。 懲戒処分を行う場合、就業規則に懲罰規定を置かなければならないが、これを新設し、または変更する場合には労働関連法規に反しないよう十分留意する必要があります。 ※情報管理に関する規程制定の要請 今回は情報管理をめぐる従業員の監督につき、一般的にどんな規則を置き、どう運用すべきか、また、これらを行うにあたって何に気をつければよいのかという視点から検討してみたいと思います。 まず、経済産業省策定の個人情報の保護に向けたいわゆる経産省ガイドラインでは、個人情報の安全管理に関する規程の整備とその運用を安全管理措置として行うべきとしています。従業員らに情報の安全管理を実施させるため、義務を課す端的な方法は、就業規則に定めを置くことです。営業秘密に関する経済産業省の営業秘密管理指針でも、秘密保持のため行う人的管理の望ましい水準として就業規則等による秘密保持の要請を挙げています。 ※各種規則・規程に定めるべき事項は? 就業規則では、最低限「就職時の雇用契約等に基づく、あるいはこれに付随する信義則上の秘密情報の保持義務を従業員が負っていること」は定めなければなりません。 次に個別事項として、ⅰ)問題となる情報の範囲のほか、ⅱ)遵守事項としては、①取得・入力、②移転・移送、③利用・加工、④保管、⑤消去・廃棄の各場面があることを前提に、アクセス制限、記録媒体の制限、媒体管理場所の制限、複製制限、アクセス・作業記録の保管といった事項を局面ごとに定めます。 個別事項の置き所としては、就業規則に置く方法もあります。しかしながら、特に個人情報に関する前記経産省ガイドラインが要求する事項は多岐にわたっており、すべてを就業規則で定めようとすると、他の事項との関係で、バランスを失する場合も考えられます。そこで、個別事項は別途他の規程に委ねる旨定め、その上で服務規程に「情報管理」という項目を置くか、情報管理規程を別途策定してそこに定めを置くといった方法もあります。 |
|
情報管理対策とは? |
|
|
|
|
個人又は社内の重要な情報が漏えいする事件・事故が後を絶ちません。 大規模な個人情報漏えい事件・事故も少なからず発生しています。 およそ情報を持っているどのような事業者であっても、情報が漏えいしてしまうリスクを抱えているといっても過言ではないでしょう。 情報漏洩により被害者から多額の損害賠償を請求されることもあります。 また、情報が漏えいしてしまうばかりではなく情報の不適切な取り扱いにより次のような重要な問題になるケースもあります。 従業員が退職後、独立して会社の競業を直接間接に営み、又は競業を営む事業者に就職し、持ち出した経営及び営業上重要な顧客情報等機密事項データを利用して顧客を引き抜いたり在職中の従業員と共謀し会社を誹謗中傷し、会社の信用を著しく失墜させる等損害を与えた。 |
|
事件・事故から会社を守るためには、どうすればいいのですか? |
|
|
|
|
①就業規則に上記事項の遵守事項を定め、違反した場合、適用する法令名と罰則を明記する ②入社時・退職時に就業規則等諸規程を遵守する旨の誓約書をとる ③入社時に損害を弁済できる財力のある保証人の身元保証書を取ること ④書類・情報の持ち出し制限・禁止のルール化 ⑤ネットワークセキュリテイの強化 ⑥パスワード管理の強化 ⑦ユーザID管理の強化 ⑧磁気媒体の確実な処分 ⑨運用環境と開発環境を完全に分離し、管理者立ち会いのもとでないとシステム開発者には運用環境を触らせないこと ⑩社有パソコンにはフアイル交換ソフトをインストールさせない ⑪セキュリテイ対策の規則化・罰則・教育 ⑫フアイルの持ち出し禁止ソフトウエアの導入 ⑬メールの同報にはBCCを使用する |
.png)
.png)
