IT & Information security Journal
長瀨 佑志
弁護士法人長瀬総合法律事務所 弁護士
従業員が個人的な理由で、社用端末や業務用メールアドレスを自由に利用することにより発生する情報漏えいリスク、労務管理上のリスク、信用リスクなどに備えるため、当社は、社用端末や業務用メールアドレスの私的利用を禁止・制限することを検討しています。どのような点に注意して対策を講じるべきでしょうか。
従業員に貸与したPCや携帯電話、業務用メールアドレスの私的利用を禁止・制限するために、企業は、情報管理等の必要性から私的利用を禁止・制限することを宣言したうえで、就業規則等の社内制度の設計を行うことが重要です。
その後、社内制度の周知や社内研修を通じて従業員に情報セキュリティ意識を浸透させていくとともに、モニタリング調査の実施や情報漏えい検知ツールの活用を検討していきます。さらに、これらの社内制度を有効に機能させるために、継続的にPDCAサイクルを回す必要があります。
企業が従業員に貸与したPCや携帯電話などの社用端末や業務用メールアドレス(以下「社用端末等」といいます)の私的利用には、情報漏えいリスク、労務管理上のリスク、信用リスクなどの様々な法的リスクが生じることが懸念されます。
このようなリスクを適切に管理するために、企業は就業規則や情報管理規程等の各社内規程の整備や、不適切な私的利用が疑われる場合のモニタリング調査の検討などを行う必要があります。
従業員の社用端末等の私的利用を禁止・制限するためには、企業において情報管理体制を構築していくことが考えられます。企業が情報管理体制を構築するうえで講じるべき手順・留意点は以下のとおりです。
社用端末等の私的利用を禁止・制限するにあたって、企業は情報管理体制を構築するという基本方針を設定するとともに、社用端末等の私的利用を禁止・制限することを記載した就業規則等を整備することから着手します。
社用端末等の私的利用を禁止・制限するための就業規則等の規定例としては、以下のような条項例が考えられます。
社用端末等の私的利用を禁止・制限する旨の就業規則等の規定例
第●条
従業員は、会社が貸与しているパソコン、スマートフォン等の情報端末を利用して、会社の業務と関係のない私用電子メール、メッセージ、電話対応等をしてはならない。
なお、後述するように、社用端末等の私的利用を禁止・制限するうえで、従業員を対象とする監視(モニタリング)を実施することが考えられます。一方で、社用端末等のモニタリングは、従業員のプライバシー権との関係で実施の可否が問題となります。
この点について、個人情報保護委員会は、従業者を監督することの可否に関し、以下のとおり回答しています 1。
個人情報保護委員会FAQ
Q5-7
従業者に対する監督の一環として、個人データを取り扱う従業者を対象とするビデオやオンライン等による監視(モニタリング)を実施する際の留意点について教えてください。
A5-7
個人データの取扱いに関する従業者の監督、その他安全管理措置の一環として従業者を対象とするビデオ及びオンラインによるモニタリングを実施する場合は、次のような点に留意することが考えられます。なお、モニタリングに関して、個人情報の取扱いに係る重要事項等を定めるときは、あらかじめ労働組合等に通知し必要に応じて協議を行うことが望ましく、また、その重要事項等を定めたときは、従業者に周知することが望ましいと考えられます。
このように、個人情報保護委員会は、一定の要件の下で従業員に対するモニタリングを適法に実施できることを認めています。
従業員に対するモニタリングを適法に実施するためには、あらかじめモニタリングの目的を社内規程等で定めておくことや、モニタリングが事前に設定されたルールに従って適正に行われていることが確認できる状態としておく必要があります。
モニタリング調査を実施する場合の就業規則等の規定例は以下のとおりです。
モニタリング調査実施時の就業規則等の規定例
第●条
会社は、業務上の必要がある場合には、貸与パソコン、スマートフォン等の端末機器で従業員が送受信した電子メール、メッセージ、閲覧したホームページ、その他のデータ等を閲覧することができる。
社用端末等の私的利用を禁止・制限する旨の就業規則等を設定した後には、従業員に対する周知を行う必要があります。これには就業規則等を従業員に配布する方法のほか、社内イントラネットに掲載する方法などが考えられます。
また、社用端末等の私的利用を禁止・制限することの必要性を従業員に理解してもらうために、社用端末等の適切な使い方や私的利用のリスクに関する社内研修を実施することも有効な施策の1つです。
就業規則等を整備した後に、各従業員が社用端末等の私的利用を禁止・制限するルールに違反していないかどうかを確認するために、モニタリング調査を実施することが考えられます。
モニタリング調査の可否については前述のとおりですが、従業員のプライバシー権の侵害にあたるリスクがあるため、企業として無制限にモニタリング調査を実施できるとは限らない点に留意してください。
社用端末等の私的利用を禁止・制限する就業規則等を整備した後、モニタリング調査を通じてルールが遵守されているかどうかを確認します。モニタリング調査の結果に応じて、設定した就業規則等や運用ルールに改善すべき点がないかチェックしていきましょう。
このように、社用端末等の私的利用を禁止・制限するためには、企業において情報管理体制を構築することになりますが、情報管理体制とは、一度構築すれば完了するというものではありません。
企業や組織の状況、新たな情報漏えいリスク、法改正等の社会的な状況の変化などに応じて、定期的に情報管理体制を見直す必要があります。また、社内における情報管理体制の運用状況によっては、モニタリング調査のルール等を見直すべき場合もあり得ます。
有効に機能する情報管理体制を構築するためには、常に社内の実状にかなった状態となるよう、継続的にPDCAサイクルを回していくことが大切です。
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
長瀨 佑志
弁護士法人長瀬総合法律事務所 弁護士
弁護士法人「長瀬総合法律事務所」代表社員弁護士(茨城県弁護士会所属)。 180社以上の企業と顧問契約を締結し、労務管理、債権管理、情報管理、会社管理等、企業法務案件を扱っている。著書『企業法務のための初動対応の実務』(共著)、『若手弁護士のための初動対応の実務』(単著)、『若手弁護士のための民事弁護 初動対応の実務』(共著)、『現役法務と顧問弁護士が書いた契約実務ハンドブック』(共著)、『現役法務と顧問弁護士が実践しているビジネス契約書の読み方・書き方・直し方』(共著)ほか。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
この記事をシェアする
最新情報をフォローする
