弁護士法人 モノリス法律事務所03-6262-3248平日10:00-17:00(年末年始を除く)

法律記事MONOLITH LAW MAGAZINE

IT・ベンチャーの企業法務

情報漏洩の防止策を解説 整備すべき社内規程の内容とは

IT・ベンチャーの企業法務

情報漏洩の防止策を解説  整備すべき社内規程の内容とは

情報漏洩は企業活動に致命的なダメージを与える可能性があります。そのため、内部的に防止策を作成しておくことが重要です。

具体的には社内規程を整備し、それにしたがった運用を行うことなどが考えられるでしょう。では具体的にどのような社内規程を策定すればよいのでしょうか。本記事では、企業の法務担当者を対象に、情報漏洩のリスクを減らすための社内規程の整備について説明をします。

情報漏洩に関する社内規程とは

情報漏洩は、いつ、どのようなタイミングで発生するかわかりません。そのため、事前にしっかりとした社内規程を作成し、情報漏洩に備えておくことが重要となります。

また、万が一、情報漏洩という事態が発生した場合でも、あらかじめ定めておいた社内規程に沿って適切に対応することにより、情報漏洩による被害を最小化することができます。

基本ポリシーを策定する

情報漏洩に関する社内規程:基本ポリシーを策定する

まずは、企業として、どのような方針で情報漏洩への対応を行うかを明らかにするため、情報漏洩に関する基本ポリシーを策定することが考えられます。

基本ポリシーの中には、例えば、以下のような内容を規定することが考えられます。

  • 企業や経営者の責任に関する内容
  • 法令等の遵守に関する内容
  • 社内的な仕組みの構築に関する内容
  • 情報管理に関する内容
  • 従業員に対する取り組みに関する内容
  • 情報漏洩が発生した場合の対応に関する内容
  • 基本ポリシーの定期的な見直しに関する内容

基本ポリシーについては、社内規程という側面に加え、プライバシーポリシーのように、対外的に基本方針を明らかにするというような形の運用も考えられます。対外的に基本方針を明らかにすることにより、情報漏洩に対する会社としての意識の高さを示すことができ、社会的な信用の向上につながることも考えられます。

ただし、当然ですが、基本ポリシーをただ設定するだけでは意味はありません。会社の実情に合わせて基本ポリシーを設定する必要があり、また、設定した基本ポリシーにしたがった運用を行うことが重要となります。

関連記事:個人情報保護法を踏まえたプライバシーポリシー作成時のポイントとは?

情報の保護に関する規程

社内規程の内容として、情報の保護に関する内容を規定することが考えられます。

情報の保護に関する内容については、例えば、以下のような内容を設定することが考えられます。

情報漏洩のリスクの分析

情報漏洩についてのリスク分析が十分になされていないと、リスクに応じた適切な対応を行うことができません。そのため、情報の保護に関する内容として、社内規程で情報漏洩のリスクの分析に関する内容を定めることが重要となります。

会社が保有する情報の把握とデータベース化

会社として、会社が保有する情報をしっかり把握していないと、十分な管理を行うことが難しくなります。また、会社が有する情報をデータベース化することにより、情報の管理を適切に行うことが可能となります。

情報の取扱者を定める

社内規程において、会社が保有する情報の取扱者を定めておくと、情報が利用される範囲を最小限度にとどめることができ、情報漏洩のリスクを減らすことができます。

情報の開示および提供の手続を定める

社内規程において、会社が保有する情報の開示及び提供に関する手続等の内容をしっかりと定めておくと、手続にしたがった運用が行われることとなります。そのため、従業員が自らの判断のみで会社の情報を利用するというような状況を回避することができ、結果として、情報漏洩の防止につながることが考えられます。

情報の外部への持ち出しを制限する

社内規程において、会社が保有する情報の外部への持ち出しに関する内容を定めておくと、情報が不必要に外部に持ち出されるという事態を防止することができ、情報漏洩の防止に一定の効果が期待できます。

情報保護体制の監査について定める

会社が情報保護体制を構築したとしても、その情報保護体制にしたがった運用がなされていなければ意味がありません。

そこで、社内規程において、監査対象から独立した主体が、情報保護体制に関して監査を行う旨を規定することも考えられます。

人的管理に関する規程

情報漏洩に関する社内規程:人的管理に関する規程

情報の漏洩については、情報を取り扱う人のミス(ヒューマンエラー)により発生するケースもあります。そのため、社内規程において、情報を取り扱う人に関する内容を規定することが考えられます。

なお、これらの人的管理に関する規定については、就業規則や機密情報管理規程の中でその内容を規定しておくことも考えられます。

例えば、以下のような内容を規定することが考えられます。

情報の守秘義務

社内規程において、従業員を対象として、情報の守秘義務に関する内容を定めることが考えられます。情報の守秘義務を定めることで、従業員に対し、契約上の義務として守秘義務を負わせることが可能になります。

また、従業員に対し、情報の守秘義務に関する意識付けを行うことが期待できます。

情報の目的外利用の禁止

情報の守秘義務については、第一義的には情報を漏洩させないという内容です。ですが、それに加えて、情報の目的外利用を禁止するという内容を定めることも情報漏洩の防止のために効果的といえます。

入社時の秘密保持誓約書

従業員に対しては、入社時に守秘義務や情報の目的外利用禁止を含む秘密保持の誓約書を提出させることを規定する方法もあります。

入社時の誓約書については、契約上の責任を負わせるということと同時に、従業員に対して情報漏洩の防止に関する意識付けを行うという意味合いもあります。

退職時の秘密保持誓約書

従業員については、在職中に情報を漏洩させないようにすることはもちろんですが、退職後についても情報を漏洩させないようにする必要があります。

そのため、退職時に、在職中に知った情報を退職後も漏洩しないことを内容とする誓約書の提出を求めることも考えられます。これは、社内規程は原則として従業員等に対する効果しかなく、退職後には効果がないためです。

情報漏洩に関する従業員教育

従業員から、誓約書を取得することで、ある程度、情報漏洩に関する意識付けを行うことができますが、誓約書だけでは、情報漏洩を生じさせることの重大性を従業員に認識させるためには、必ずしも十分とはいえません。

そこで、一定期間ごとに企業内研修を行うなどして、従業員に対し情報漏洩を防止するための教育を行うことを社内規程に定めておくことも有用です。

物理的管理に関する規程

情報漏洩に関する社内規程:物理的管理に関する規程

情報漏洩を防ぐためには、物理的に情報が漏洩しにくい環境を構築する必要があります。

例えば、社内規程において、情報の管理に関する内容として、以下のような内容を規定することが考えられます。

情報を保存する部屋の入退室管理

社内において取り扱う情報に応じたセキュリティー区画を明確にし、それぞれの区画の入退室管理や施錠などの管理を行うことにより、情報への物理的接近を減らすことが考えられます。

情報への物理的接近を減らすことにより、情報漏洩が生じるリスクを下げることが期待できます。

サーバーへのアクセス

情報をサーバーなどに保存している場合には、社内規程において、サーバーにアクセスする権限を制限することが考えられます。

従業員が誰でも容易に情報にアクセスができると、その分、情報漏洩のリスクが高まりますので、情報を保存するサーバーへのアクセスを制限する事は、情報漏洩を防止するために有効といえます。

書類その他の媒体の取扱い

社内規程において、情報を実際に取り扱う際の取り扱いや保管に関する内容を具体的に定めておくことも重要となります。

例えば、情報が紙媒体の場合には、施錠できるキャビネットで保管することや、情報閲覧用の部屋を設け他の部屋には持ち出しができないように規定することなどが考えられます。

IT機器の利用に関する規程

最近では、インターネットの発達やリモートワーク実施の増加などの理由から、IT機器を利用して情報をやり取りする機会が増えています。

そのため、社内規程において、IT機器の利用に関して、以下のような内容を規定することが考えられます。

会社からIT機器の貸与を受ける際の手続

まず、会社からパソコン等のIT機器の貸与を受ける場合には、誰がいつ貸与を受けたかということなどを管理することが重要となります。

また、会社からIT機器の貸与を受けた者が、情報漏洩が生じやすい環境でIT機器を利用していないかを確認するため、一定期間ごとに利用状況を把握することも重要となります。

私物端末(BYOD)の利用手続

在宅ワークが増加したことにより、従業員の私物のIT端末を仕事で使用するというケースも増えています。PCやUSBメモリなどが従業員の私物の場合、必ずしも十分なセキュリティー対策がなされていない可能性もあります。

また、普段使用しているIT端末であることから、従業員としては、仕事に関する情報を扱っているとの危機感が薄れ、管理が不十分となってしまう可能性もあります。

そのため、社内規程において、会社が、従業員に対し、私物端末(BYOD)の利用を認める場合には、私物端末(BYOD)の利用のための手続や禁止事項を定めることも考えられます。

その他の情報漏洩に関する規程

このほかにも、情報漏洩に関する社内規程においては、以下のことを定めておくことが考えられます。

SNSの個人利用に関する規程

SNSには、実名で利用するものと匿名で利用するものがありますが、匿名の場合には、匿名であることから安易にSNSで投稿を行うという可能性も考えられます。また、それほど多くの人の目に触れないだろうという軽い気持ちで投稿し、それが炎上してしまうと、多くの人の目に触れてしまうようなケースもあります。

SNSについては、拡散力がありますので、情報漏洩が生じてしまうと、瞬く間に拡散されてしまう恐れがあります。

そのため、社内規程において、従業員のSNSの利用に関する内容を規定することも考えられます。

例えば、SNSの利用目的を「業務目的」と「業務目的外(私的)」にわけて、業務目的の場合には申請・承認や、炎上時の報告などを義務付けるという方法があります。業務外目的であっても、会社の機密情報や法令違反となることを書くことを禁止し、情報漏洩の可能性があった場合や炎上した場合には報告を義務付けることが考えられます。

情報漏洩対策はグループ会社全体で取り組む

規模の大きい会社であれば、複数のグループ会社が存在するケースがあります。グループ会社間で機密情報のやりとりがされる可能性もありますが、必ずしもグループ全体が同一水準のセキュリティーを有しているとは限りません。

そのため、例えば、親会社よりもセキュリティーが脆弱な子会社に対して不正アクセスを行い、情報を不正に取得しようと考える者もいます。

このような事態に対応するため、グループ会社がバラバラに情報漏洩に対する対策を行うのではなく、グループ会社が一体となって情報漏洩に対する対策を行うことも重要となります。

まとめ:情報漏洩に関する社内規程は弁護士に相談を

以上、企業の法務担当者を対象に、情報漏洩のリスクを減らすための社内規程の整備について説明をしました。情報漏洩を防止するためには、さまざまな角度から対策を広く実施していくことが重要となります。

このような対策に関する社内規程については、専門的な視点を交えて慎重な検討を行う必要性があります。社内規程を整備する際には専門的知識を有する弁護士に相談をすることをおすすめいたします。

関連記事:企業の個人情報漏洩と損害賠償というリスク

当事務所による対策のご案内

モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。社内規程の策定に当たっては専門的な知見が不可欠です。当事務所では、東証上場企業からベンチャー企業まで、様々な案件へのレビューを行っております。もし社内規程についてお困りであれば、下記記事をご参照ください。

弁護士 河瀬 季

モノリス法律事務所 代表弁護士。元ITエンジニア。IT企業経営の経験を経て、東証プライム上場企業からシードステージのベンチャーまで、100社以上の顧問弁護士、監査役等を務め、IT・ベンチャー・インターネット・YouTube法務などを中心に手がける。

シェアする:

TOPへ戻る