機密情報の漏洩防止策を就業規則に落とし込んでいく方法
ー情報の取扱い手順をマニュアル化し、リスクを最小限に!!
これまでの記事では、企業がお客様への個人情報を含んだ、業務上の機密情報を外部に漏洩させることがどれくらい会社にとってマイナスになるのか、また“なぜ漏洩が起こってしまうのか”という原因についてレクチャーして参りました。
ここでは、そういったことを踏まえて、“だったらどのように対策しいけばよいのか!!”という点のフォーカスしていきます。
当事務所の見解では就業規則を強化することで効果的な漏洩防止対策は可能と考えます。
まず、就業規則の本則の中に組み込んでもよいし、別規程として独立させてもよいので、社内の機密情報や個人情報の取扱いについてのルールを定めた“業務情報管理”についての項目を設け、従業員に周知し、業務へのマニュアル化を徹底を計ります。
もし、就業規則の本則そのものの中に組み込むのであれば、“第〇章 業務情報安全管理”として一つの独立した章立てとすべきでしょうし、別規程として独立されるのであれば、“業務情報管理安全規程”と名目の別冊を作成することになるでしょう。
*ちなみに当事務所が提供している“個人情報保護キット付経営戦略型就業規則”では“業務情報安全管理規程”という独立した別規程を作成、納入させて頂いております。
次に“業務情報安全管理規程”にどのようなことを定めていくかということですが、まずは、この規定でいうところの業務情報、機密情報を定義付けるところから始めていきます。この規定で管理されるべき業務情報とはどういったものが入ってくるのか、というところです。
これは、業種や会社の個々の考え方で変わってくると思います。メーカーや製造業のような特殊なノウハウやオンリーワンの技術を持った会社であれば、工程管理等を含めたその辺りのノウハウ部分なども入ってくるでしょう。だた、どんな業種であっても顧客、取引先を含んだステークホールダーの個人情報はその管理下に置かなければならないということは、必然的にご理解いただけるのではないでしょうか。
“機密情報”として会社の管理下に置かなければならない情報の定義付けが終われば、次はそういった情報の外部漏洩対策をどうやって行うのかということを考えていかなければなりません。
先の記事で見たように、情報漏洩の原因は“人的な要因(いわゆる人災)”“管理体制の要因”“技術的な要因”の3パターンです。
このうち、ハッカーからの不正侵入を想定した“技術的な要因”に関しては、いくら自社の従業員の意識づけをきちんとしても、完璧な対策は難しいことは先の記事に述べたとおりです。
よって、ここでは前の2者、つまり“人(人災)”と“管理体制”が起点となる漏洩原因を徹底的に潰していくという感覚で対策方法をレクチャーしていきます。
人経由(人災)での情報漏洩原因を潰す
・入社時や退職時には機密情報の扱いについての誓約書は必ず取る。また、それを義務付ける条文を就業規則(業務情報安全管理規程)に記載しておき、誓約書を提出しないものについては、懲戒の対象とするように、就業規則の懲戒部分も見直す。
・個人でのブログやSNS等に関して仕事上の情報を掲載することの規制(程度については各々の企業の判断基準による)
・2ちゃんねる等掲示板サイトへの業務上知りえたことの書き込みの制限
・FAX送信や郵送物の送付の際のダブルチェック体制のマニュアル化
ect.
ずさんな管理体制に起因する情報漏洩の原因をつぶす
・社内のオープンエリアとセキュリティエリアの区分けの徹底
・社内用パソコン等の機密情報格納物の持ち出しの際のルールの制定
・従業員私有の記録媒体や情報機器の社内使用での制限
・従業員の離席や退社の場合の机の整理整頓の徹底や機密情報を含んだ重要書類の格納・施錠の徹底。
etc.
こういったことを就業規則(業務情報安全管理規程)に記載して業務ルーチンとして徹底的に落とし込んでゆくというやり方を行いまた、これができていないことに対することに処罰ができるように、懲戒項目も整理していきます。
また、就業規則(業務情報安全管理規程)に落とし込むことにプラスして、従業員に対しては、情報漏洩が会社に対して莫大な損失を発生されるということの意識づけを常日頃から持ってもらえるような、経営者のメッセージが伝わるような箇条書きしたメモ(例えば、“大事な情報の扱いの心得10箇条”)のようなもの掲示するか、書く従業員に配布する。
ex) 大事な情報の扱いの心得10箇条
第1条 “情報”は私たちのお給料を創出していることを忘れるな!!
第2条 個人情報10件は50万円の現金に値する
第3条 ・・・・・・・・・・・・・・・・・・・・・・・・・・・
(以下省略)
同時に“禁止行動リスト(またはするべきリスト)”なんかも掲示または配布し、情報の扱いに対しての簡単な指針を示すこともしておいた方がよいでしょう。
こういった対応は就業規則(業務情報安全管理規程)の内容が詳細に踏み込みすぎて深堀になってしまった場合に、従業員に簡素化したメモ等を閲覧することでベーシックなことだけに立ち返ってもらう意味もあります。
また、会社からこういったものを配布、掲示すだけではなく、各人の業務に従って、“やってはいけない行動リスト”等を自分たちで考えて提出してもらうということも、従業煮に対しての情報の重要性の啓蒙となり有益だと思われます。
以上のように、“就業規則(情報安全管理規程)での業務での落とし込み、マニュアル化”と“従業員に対する教育、啓蒙”の2本柱で、情報漏洩の対策を行えば、会社の命、メシの種をライバル企業に奪われるたり、大事なお客様の個人情報が流出したりするリスクは圧倒的に低下するでしょう。
当事務所では、業務情報の漏洩対策を含んだ様々な形態の就業規則のコンサルティングを企業様にさせて頂いております。

当事務所が誇る、様々なリクエストにお応えする就業規則作成サービスのページはこちら
企業様の“メシのタネ”、ノウハウの競合他社への漏洩、流出の防止対策を講じさせて頂きます。
お問い合わせ、ご相談はこちらから
