【 ここから本文 】
ビジネス・コミュニケーション
ソーシャルブックマークに登録 :
印刷用ページの表示
コンプライアンス時代の情報セキュリティ・ポリシー
英国の事例から情報セキュリティ対策の有効策を探る
(2006年11月14日)
CASE STUDY 1 Webサイト閲覧/メール利用規定
アダルト・サイト閲覧によって社員が解雇
英国に拠点を置く日系のメディア関連企業であるA社は昨年、ある英国人女性スタッフから「同僚の日本人男性社員が、日常的にアダルト・サイトを見ている。これはセクハラであるので、当該社員を即刻解雇してほしい」との訴えを受けた。A社はこの男性社員を注意したが、男性は「業務に関連がある」旨を主張し、その後もアダルト・サイトの閲覧をやめなかった。A社は、女性スタッフから再三にわたる訴えを受けていたことや、社内には欧州各国からの外国人スタッフが多くいたことを鑑みて、男性社員を解雇することにした。
しかし、従来の社内規定では、解雇に相応する理由がないため、不当解雇とみなされる可能性があった(注3)。
注3:同様の状況で係争にまで発展した有名なケースとして、1998年の「英国IBM対ダン」の事件がある。英国IBMは、社員であるダン氏が勤務時間中に不適切なサイトを閲覧していたとし解雇した。しかし、ダン氏はこれを不当解雇であると訴え、裁判所はこの訴えを認めた。裁判所は、「会社の方針に違反したという明確な根拠がないかぎり、ダン氏を解雇することは適切ではない」と判断した
システム的に閲覧できるサイトに制限をかけることもできたが、メディア事業という特性上、それでは不都合が生じる。そこでA社は、Webサイト閲覧とメール利用に関するポリシーをあらたに策定するとともに、使用状況をモニタリング/記録するためのシステムを導入することにした。ポリシー策定に際しA社が留意したのは、以下のような点である。
- 文書化する
- すべての社員に認知されている
- Webサイト閲覧・メールに関し、許可されている利用方法について明記する
- Webサイト閲覧・メールに関し、許可されていない利用方法を具体的に記す
- Webサイト閲覧・メールの使用をモニタリングする場合には、その旨を明記する
- 規定に準拠しない場合には、罰則の対象となる場合がある旨を記載する
情報セキュリティ・ポリシーは、企業の資産を守ることを主な目的とするため、ある程度の強制力を持たせる必要がある。ポリシーに罰則規定を含めたのはこのためである。また、従業員に罰則を含む規定を受け入れてもらうために、経営者からの宣言というトップダウンの形で、規定の目的や重要性を従業員に十分に説明し、順守すべき内容をできるだけ具体的に示した。使用状況のモニタリングに関しても、その目的や方法などを具体的にポリシーに記載し、従業員全員からモニタリングに関する承諾書を得た。
こうした対策によって、従業員は「許可されていること」と「禁止されていること」の区分を理解し、ポリシーのスムーズな運用につながった。また、承認を得たことにより、モニタリングを行っていることを明示する効果を得るとともに、従業員の雇用主に対する疑惑も排除できた。
このようなWebサイト閲覧やメールに関する規定は、ポリシーをどの程度明確化し、強制力を持たせるかの差はあるにせよ、国内の多くの企業が導入している。ここで注意したいのは、従業員の業務効率を妨げずにいかに効果的なポリシーを策定するかである。また、近年では、雇用主による従業員の行動監視と従業員のプライバシーも問題となるケースが増えた。これについては後述する。
CASE STUDY 2 機密情報取り扱い基準
適切なアクセス制限により内部犯行を防ぐ
ロンドンに本社を置き、欧州各国の日系企業にITサービスを提供するB社は、情報セキュリティに関する取り組みを数年前から全社的に行っており、情報セキュリティ・ポリシーの策定や情報セキュリティ委員会の設置などはすでに行っていた。しかし、B社のセキュリティ担当者は、昨今の相次ぐ情報漏洩事件と、多くの場合それらの事件には内部の人間の関与があったことを考慮し、情報の取り扱いルールを強化することにした(注4)。
注4:企業の機密情報の取り扱いに関する係争としては、1986年の「ファッチェンダ・チキン対フォーラー事件」が有名である。フォーラー氏は英国ファッチェンダ・チキンの営業担当マネジャーで、顧客情報や配達の経路・日時、支払い価格を含む販売情報を閲覧することができた。その後フォーラー氏は、同社を退職し、その販売情報を利用して競合会社を設立した。ファッチェンダ・チキンは、当該情報の保護を裁判所に求めたが、裁判所は、「機密情報とは何かを定める明示的な約款がない場合、その情報は企業秘密にならず、フォーラー氏は自由に情報を利用できる」と判断した
まず、「機密情報」という同じ言葉が、部署ごとに異なる意味で用いられていたことから、情報を区分することから始めた。そして「知る必要のある人のみが、その情報にアクセスできる」というルールを導入し、システム的なアクセス制御を実施した。B社の策定した「機密情報取り扱い基準」(表5)は、以下のようなものである。
| 表5:情報区分基準 |
 |
- すべての情報資産を表5に示す「情報区分基準」にしたがってクラス分けすること
- 情報資産の属するクラスが決まったら、表6に示す「情報取り扱い基準」にしたがい取り扱うこと
- 定期的に監査を実施し、機密情報の取り扱いが基準に準拠していない場合には、罰則の対象となる場合もあること
| 表6:情報取り扱い基準 |
 |
この基準の策定によって、情報管理責任者は個々の情報資産の価値を判定できるようになった。従来は、同じ言葉が異なる意味に使われていることもあり注意が必要だったが、「情報区分基準」と「情報取り扱い基準」を明確にしたことで、組織内での解釈が統一され、さらに定期的な順守状況の監査を行うことで、問題点の早期発見や解決、従業員への抑止効果につながった。
この事例で留意すべきは、内部犯行を未然に防止するためには、システム的なアクセス制限に先立って、情報の取り扱い区分を定めることの重要性である。また、アクセス制限は、先の事例と同様、従業員の監視やプライバシーともかかわってくる問題と言える。そこで次に、その注意点を説明したい。なお、英国におけるIT施策と動向については、次ページのコラム2にまとめたので、参考にしていただきたい。
