人事のブレーン社会保険労務士レポート第211号
テレワークにおける機密情報管理の注意点
1.はじめに
新型コロナウイルス感染拡大の第四派といわれている状況で、テレワークの推進を政府や自治体が推進しています。
この様な中、テレワークを実施する企業も増えてきており、また会議もオンラインで行うケースが増えてきました。
情報ネットワークの技術の進歩により技術的にはテレワークに対するハードルは低くなりました。
一方でテレワークによって業務を行う際の機密情報や個人情報といったソフト面の管理が疎かになっている事例も多く見受けられます。
テレワークの推進にあたり情報の保護という観点からお話をしたいと思います。
2.テレワークでできる業務を決めること
(1)弊社の事例
「マイナンバーの入力を自宅でやってもらいますか?」と質問すると「それは無理でしょう」と返ってきます。
特定個人情報であり、漏洩することで刑事罰まで課せられる恐れのあるものを自宅で入力させたくない。
これは当然の反応だと思います。
極端な例をお話ししましたが自宅でできる作業というのは、会社から持ち出せる資料を使ってできる作業ということになります。
ここがポイントです。
弊社もテレワークを一部行っており、弊社所有のパソコンを自宅にもっていき、弊社内にあるパソコンをリモートで動かすという形態で行っています。
しかしそこで行う作業は自宅内で個人情報を保管しないものとなります。タイムカードの集計や就業規則の作成や変更などは手元に個人情報を必要とせずに行えますからテレワークで行うことを可としています。
勤怠集計を給与ソフトに取り込む作業も手元に個人情報は必要ありません。しかし給与計算ソフトの社員マスターの変更や給与計算の検算など手元に個人情報を必要とする作業はテレワークでは不可としています。
社会保険の手続きは一部の例外を除いて手元に個人情報を必要としますからテレワーク不可としています。
この様に弊社では個人情報の持ち出しを禁止にし、弊社のパソコンを貸し出し、パソコンのセキュリティーを弊社が管理することで個人情報等の漏洩対策を行っています。
弊社にとり最も恐れることは個人情報の流出ですからこの様な業務範囲のみ可としています。
(2)個人情報等を持ち出す場合
この場合には移動中及び自宅での個人情報の管理を定める必要があります。まず移動中に紛失したら大変です。
第一に移動中のルールをしっかりと定める必要があります。
USBなどを使用する場合には会社が管理するものとし、指紋認証によりファイルが開けるものもありますからこの様なタイプを使用することも大事であると考えます。
第二に自宅での保管場所を定めることです。
書斎の机に鍵付きの引き出しがあるならその中に入れる等の取り決めをする必要があります。
最低限鍵付きの引き出した戸棚をテレワークの要件にする必要があると考えます。
第三に作業場所
書斎がある場合には書斎。書斎がない場合には他の家族が出入りしない部屋等、特定の部屋以外での作業は認めないとすることをお勧めします。
リビングで仕事をした場合、部外者である同居の家族の目にその情報が触れてしまうことは好ましくありませんし、それ自体が情報漏洩になりかねません。
また喫茶店やワーキングスペースなどもどういった作業は許され、どういった作業は許されないのか。
フリーWi-Fiの使用は認めるのかどうか。
この点をしっかりと明確に決めておく必要があります。
3.会議の場所
テレワークに限らずオンラインでの会議が増えています。
学校の保護者会もオンラインでも行えるようになりました。
便利でいいことなのですがやはり個人情報等の取り扱いに注意が必要です。
私は八王子市の情報公開・個人情報保護運営審議会の委員をしています。
先日初めてオンラインで審議をしましたが、審議会の性質上、市民の方に非公開の議事が多く資料も事前配布なく、会議後回収されるものが殆どです。
また非公開の審議ですからイヤホンを付けても私の発言は聞こえますから、誰も入ってこない、そして声が外に漏れない部屋で行う必要があります。
一度経験して感じたことはこの審議会はオンライン向きではないということです。
セキュリティーレベルの高い会議については対面会議が好ましいと感じた次第です。
オンラインでの打ち合わせや会議を行う場合には、場所の条件指定が必須であります。
「家族にも声が漏れない場所」等の指定をする必要があります。
4.使用するパソコン
使用するパソコンは会社所有のものが望ましいです。
ウイルス対策ソフトやログ管理ソフトなどの管理もできますし、社員の私用パソコンではどうしても個人で使用するソフトやファイルが入っており、その中に業務のデータが混在してしまうリスクもあるからです。
USBやSDカードなども同様になります。
5.まとめ
テレワークに関しては新型コロナウイルス感染拡大の関係から個人情報や営業情報、技術情報の管理まで明確に取り決めている企業は少ないです。
個人情報保護法の観点からお話しすると、このルールが明確に取り決めることができ、そしてそれが確実に守られている確証がない限りテレワークは恐ろしくてできません。
定期的な監査を含めて社員の自宅の状況を確認する必要もあります。しっかりとリスクを分析していくことが必要になってきます。