コンプライアンス時代の情報セキュリティ・ポリシー

英国の事例から情報セキュリティ対策の有効策を探る

（2006年11月14日）

国内でも課題となる従業員の行動監視とプライバシー

　国内では、「インターネットやメールは会社の資産であるため、雇用主が従業員の使用状況を監視しても、プライバシーの侵害にはならない」という考え方が一般的であるようだ。しかし、近年では個人のプライバシーや人権に関する意識が高まったこともあり、雇用主による不用意な従業員の行動監視やモニタリングが議論の中心になることも多くなってきた。

　雇用主による従業員の行動監視と従業員のプライバシーの関係で留意が必要なのは、行動監視が自動的あるいは電子的に行われる場合である。具体的には、電話の録音やWebサイト／メールの使用状況の監視、場合によっては、CCTV（監視カメラ・システム）による行動監視などである。ここでは、個人の権利やプライバシーに関して先進国である欧州のベスト・プラクティスを紹介したい。

　一般原則として、モニタリングの目的は、ビジネス上あるいは規制当局・顧客からの要望により絶対的に必要であると判断できるものでなくてはならない。正当な理由もなく、不必要に過度にモニタリングを行うことは、法的な問題へ発展することや、企業としての暗黙の信頼や責任に関する義務を怠ったと判断されることもある。また、企業の事業内容に応じてモニタリングのレベルは異なる。IT業界や金融業界、専門家などは業務内容上、機密情報の送受信や使用が必要となるために、例えば、製造業などと比較して、よりハイレベルでのモニタリングが正当とみなされる傾向がある。

　スタッフの行動監視・モニタリングに関するガイドラインとして、例えば、企業は以下のことを守ることが期待される。

従業員モニタリングのガイドラインの例

モニタリングの目的を明確にすること
モニタリングにより得られる利益が、それにより失われる従業員のプライバシーよりも上回ることが正当化できること
モニタリングの方法、レベルおよび理由を従業員に周知させること。具体的には、何がモニタリングされ、なぜモニタリングが必要なのかということを知らせること
モニタリングにより収集された情報へアクセスできる人数は最低限にすること。可能であれば、例えば人事のような特別な職務責任のある人に限るのがよい
モニタリングにより収集した情報は、規定された目的以外に使用しないこと
従業員に対して悪影響があるような情報については、何らかの処置（罰則など）を施す前に、当該従業員が情報を確認し、雇用主へ説明できる機会を与えること
自身に関して保管されている情報へ、当該従業員がアクセスできる権利を保障すること

　雇用主が従業員のメールを監視することは、従業員から書面による承諾を得ることにより、プライバシーの侵害などの法的問題に発展することを避けられると述べた。その次に問題となるのは、メールの送信者や電話の発呼者などが外部の人間である場合の彼らのプライバシーである。ベスト・プラクティスでは、以下の対策をとることが推奨されている。

社外関係者モニタリングのガイドラインの例

自動メッセージにより、電話による会話はモニタリングされている可能性があることをすべての発呼者に知らせる
メールを送信する際に、すべてのコミュニケーションはモニタリングされている可能性があることを記述する。これは「Mail Disclaimer」（メールに関する免責宣言)と呼ばれる
関連資料や営業資料にモニタリングに関するポリシーを記載する

情報セキュリティ対策におけるIT/IS部門の役割

　これまで述べてきたように、情報セキュリティ・ポリシーは、組織全体の情報セキュリティの根幹にかかわる考え方である。ポリシーを確立するためには、全社横断的な情報セキュリティ委員会などを設置し、社員が一丸となって取り組むことが求められる。その中でIT/IS部門の果たすべき役割はきわめて大きい。同部門の役割は、セキュリティ・プロダクトの検証・選定やセキュリティを考慮したシステムの設計・構築だけにとどまらない。

　ITがビジネスのインフラをなし、ITの活用が企業のビジネス戦略と密接にかかわる昨今、IT/IS部門や情報セキュリティ担当者は、企業を取り巻く環境の変化を認識し、情報セキュリティ・リスクを企業リスクの一部としてとらえ、それをマネジメントに伝えていくことが要求される。更には、ISO/IEC27001などのマネジメント・システムに精通し、管理策のベスト・プラクティスとして活用していけば、より効果的であろう。

【COLUMN 2】
英国のIT施策とEUのデータ保護基準

　英国の裁判では、コモン・ローが適用され、当事者間の主張や慣習・判例が重要な判断要素となる。したがって、英国企業は、企業の行動を直接的に規制する法令や規制だけではなく、プライバシーの尊重と個人の権利を保護するための人権法や、雇用主が暗黙的に負っている義務や信頼なども考慮しなければならない。企業のIT施策は、「社員個人の権利（プライバシーなど）侵害の程度」と「その代償として企業が得られる利益」とを比較し、正当化できることが常に要求されている。

　表Bは、IT施策に影響のある英国の主な法令や規範をまとめたものである。「1998年データ保護法」にて定める「データ管理者が順守しなければならない8つのデータ保護原則」の第8項では、「欧州経済領域（すなわち、25のEU諸国およびアイスランド、リヒテンシュタイン、ノルウェー）以外の国であって、適切な保護の方策のない国には個人情報を転送してはならない」と規定されている。

　欧州委員会が欧州経済領域以外の国で個人情報に関する保護が適切であると認定している国は、スイス、ハンガリー、カナダおよびアルゼンチンである。インターナショナル企業の場合など例外事項はあるが、基本的に、米国と日本はこのリストに含まれていないことに注意していただきたい。データ保護に関しては、EUの基準と比較すると、米国と日本は不十分なのである。

　ただし、米国とEUは、データの転送について、「セーフ・ハーバー（安全港）」として知られる実際的な解決策に到達している。セーフ・ハーバーとは、EUによって承認されたデータ保護規約に米国の組織が署名すれば（任意）、米国と欧州経済領域間の個人情報の転送についてEUのデータ保護法に違反しないというものである。

　日本についても、2005年に全面施行された厳格な個人情報保護法を考慮すれば、組織の今後の取り組み方次第では、EUの見解も変わっていくことは大いに期待できる。

表B：ＩＴ施策に影響のある英国の主な法令や規範