新たにテレワーク(リモートワーク)を導入しようとする事業者や、新型コロナウイルスの感染拡大を受けて急いでテレワークを導入したものの、導入について十分な検討をする時間がなかった事業者向けに、テレワークに伴って生じうる人事評価・労務・法務・情報セキュリティに関する問題点を簡単に記載致します。今回は、テレワーク導入にあたって、従業員のプライベートと衝突する部分はどのように規律すればいいのかについてご紹介致します。
私生活領域との衝突回避の方法
テレワークはその性質上、私生活領域(プライベート)での活動と業務の衝突が発生します。私生活領域について細かくプロセスを設定し、それを従業員に遵守させることは現実的ではありませんし、従業員の反発やプライバシー侵害も引き起こしかねません。情報セキュリティの観点から最低限の禁止事項を明確化したうえで詳細なプロセスは従業員に任せることにし、従業員の合理的な判断をサポートするのが良いです。
私生活領域での活動と業務が衝突する場面
BYOD
BYOD(Bring Your Own Device)とは、私物の機器を職場に持ち込み業務に使用することを言います。BYODについては多くのメリットがあると同時に、導入には十分な情報セキュリティ対策が必要になります。NISCも以下の通り注意喚起を出しています。
※個人の端末を利用(BYOD)する場合は、端末内で重要なデータを扱わない残さない運用が重要。利用可否や運用ルールについて社内規定の確認を忘れずに。
BYODについては、情報セキュリティに関するルールの整備後に行うことが良いです。NISCの「統一基準」の記述が参考になります。
8.2.1 機関等支給以外の端末の利用
遵守事項
(1)機関等支給以外の利用可否の判断
(a)最高情報セキュリティ責任者は、機関等支給以外の端末の利用について、取り扱うこととなる情報の格付け及び取り扱い制限、機関等が講じる安全管理措置、当該端末の管理は機関等ではなくその所有者が行うこと等を踏まえ、求められる情報セキュリティの水準の達成の見込みを勘案し、機関等における機関等支給以外の端末の利用の可否を判断すること。
3.3 私物端末の利用
(中略)私物端末の利用に際しては、
- 不要な機能の停止や業務用のアプリのインストール等の技術的対策が府省庁支給の端末に比較して限定的でになること利用者の資産である端末本体や、端末内の個人所有のコンテンツなどの資産について考慮する必要があること
- 通信料金やセキュリティ対策機能の使用料金の負担について整理が必要なこと等、解決すべき課題やリスクがあることから、組織が職員個人に対して私物の利用を強要してはならない。やむを得ず、職員の私物端末を業務利用する場合は、リスクを評価し、残存リスクを受容できる範囲での利用に限定することを考える必要がある。
※NISC「スマートフォン手引書」引用
コラム
BYODによるコスト削減
BYODのメリットとしてコストが挙げられることがありますが、この考えには疑問もあります。
- BYOD導入に伴うセキュリティ対策費用
- インシデント発生時の損害
- インシデントの発生確率の増分
上記3点を全く考慮していない、または非常に軽視しているケースが多いのではないでしょうか?
ではBYODを導入するメリットは無いのかというと、そんなことはありません。例えば業務効率や従業員満足度の向上など他に色々なメリットが想定できます。コストメリットをあまり強調し過ぎると後々情報セキュリティ対策に多くの費用が必要になり、本来有効な施策になりえるBYODが「失敗」とみなされてしまう可能性があります。BYODはメリットとデメリットについて多面的に評価することが重要であると考えます。
SNS
現在、職務専念義務の観点から業務時間中に従業員がSNSを利用することを許可(黙認)するかどうかは会社ごとに分かれているかと思います。しかし、テレワーク中にSNSの利用を厳格に禁止することは難しく、「会社支給のPCで業務を行いながら、手元の個人契約スマートフォンでSNSを閲覧する」という状況も十分考えられます。これをルールとして禁止することも一つの手段ですが、「作業に影響が出ないのであれば、休憩時間としてSNSの利用自体を全面的に禁止するよりも、SNS利用がもたらしうる悪影響について従業員に納得してもらった上で、必要最小限のルール順守を依頼する方が実効性は高いと考えられます。例えば、NISCはSNSの利用に関して以下のように注意喚起を出しています。
TwitterやInstagramなどのSNSに投稿したテレワークの写真に、機密性の高い文書や業務情報が映り込む事例が発生しており、テレワーク実施時には特に不用意な機密情報の漏洩に留意する必要があります。また、遠隔会議を実施する際に、機密性の高い情報がカメラの背景に映り込んだり、業務情報がマイクから流れたりすることで、不用意な情報漏洩に繋がる蓋然性があることから、遠隔会議の実施場所や設定に配慮する必要があります。
※NISC「テレワークを実施する際にセキュリティ上留意すべき点について」より引用
個人契約サービスの利用
テレワーク時には、
「手元に個人PCがある」
「BYODで個人PCを業務に使用している」
「障害により会社で契約しているクラウドストレージサービスが使えない」
等の理由により、個人で契約しているサービスを利用したいと考える従業員が発生することがあります。しかし、これは原則として避けるべきです。
直接会社の管理が及ばない外部サービスでしかも従業員個人が契約している場合、会社が十分に管理することは非常に難しくなります。例えば、従業員が退職した場合に従業員の個人契約しているクラウドストレージ上にある業務資料を削除する必要があります。しかし、これを会社側が完全に管理して削除させることは容易ではありません。
家族への漏洩
従業員は入社時に、社内の機密情報を外部に漏らさないと誓約している場合が多いかと思います。通常勤務時において、利害関係が無いにお関わらず機密情報を漏らす従業員は少数派です。しかしながらテレワーク時に自宅で作業をしている場合、気のゆるみから家族に機密情報を漏洩してしまうことが考えられます。
このようなことを防止するため、
「相手が家族といえども社外の人間であり、機密情報を話してはいけないことを再度確認する」
「極力個室で作業するよう依頼する」
「プライバシーフィルターや、(会議用の)通話イヤホンを配布する」
以上のことが対策として考えられます。
自宅外での作業
NISCの「統一基準」では、
「情報システムセキュリティ責任者は、要保護情報を取り扱う端末について、端末の盗難、不正な持ち出し、第三者による不正操作、表示用デバイスの盗み見などの物理的な脅威から保護するための対策を講じること」
上記が記述されています。(7.1.1 端末)。ここでは業務上のリスクや自宅外で作業を行う必要性を踏まえて
「禁止する」
「申請制にする」
「プライバシーフィルターの利用や執務場所を個室に限定する等一定のルール順守の下で許可する」
といったオプションの中から選択すると良いです。なお、いずれの選択肢を採用する場合でも、最終的には従業員のモラルに頼らざるをえないことになります。業務内容によっては一律禁止するよりも、申請制度の下で従業員とコミュニケーションをとりながら許容可能なリスクになるよう対策を実施する方が実効性を担保できると考えられます。
共有PC,公衆無線LANでの作業
「自宅外での作業」の延長として、インターネットカフェや公共施設などで共有PCや公衆無線LANを用いて作業を行う従業員が出てくる可能性があります。共有PCや公衆無線LANの業務利用は、会社の機密情報や従業員の個人情報漏洩に繋がりうる点で危険です。利用の禁止または利用に際しての遵守事項(シンクライアントPC、VPNの利用時に限定する等)をルールとして明確に設定すべきです。
ルール制定の留意点
「私生活領域での活動と業務が衝突する場面」の各項目でも一部述べましたが、私生活領域において事細かにルールを設定し順守させることは不可能です。重要な点に絞って、従業員に納得してもらった上でルールを定めていく必要があります。
まとめ
上記までにご紹介致しました通り、テレワークを実施については情報セキュリティについて頭を抱える方も多いのではないでしょうか。企業はテレワークの情報セキュリティへの対応が必要となります。テレワークの推進には、テレワークで従業員のプライベートと衝突する部分の規律をしっかりと制定して運用を行うことでテレワークを推進していきましょう。