前回は、「中小企業の情報セキュリティ対策ガイドライン2025」の「目的から管理体制」について説明しました。
情報システムを使う情報セキュリティ対策のガイドラインをまとめましたので、以下の順に説明します。
「中小企業の情報セキュリティ対策ガイドライン2025」は、このブログの品質マニュアルと関連規定で想定している、20名規模のモノづくりの会社をイメージしています。
中小企業の情報セキュリティ対策ガイドライン2025
テレワークのルール ← この記事
ここでは、「テレワークのルール」について説明します。
7 テレワークのルール
テレワークにおいても「6 仕事中のルール」を順守する。
テレワークにおいて特に注意することを以下に示す。
7-1 テレワークで利用する情報システムと情報機器
(1) 情報システム
テレワークを実施する際には、下表の情報システム・サービスを利用する。
他の情報システムやサービスを利用する必要がある場合は、管理部長の許可を得る。
| 情報システム等 | 用途 | 利用方法 |
|---|---|---|
| 指定VPN | 社外から社内にアクセス | 貸与パソコン、スマホで利用 |
| メール | 電子メール |
貸与パソコン、スマホで利用 ※私有メールアドレス、メーラーの業務利用禁止 |
| グループウェア |
社内連絡、社内設備管理 スケジュール管理 |
貸与パソコン、スマホで利用 |
| 基幹システム | 受発注、購買、製造等の伝票処理 | 貸与パソコン |
| オンライン会議 | 社内会議等 | 貸与パソコン、スマホで利用 |
| 専用サービス | 勤怠管理、給与関連 | 貸与パソコン |
| 図面管理システム | 図面、仕様書等の管理 | 貸与パソコン |
| ファイルサーバー | データ共有 | 貸与パソコン |
(2) 利用する情報機器
テレワークで業務を行う際には、下表の情報機器を利用する。
他の情報機器を利用する必要がある場合は、管理部長の許可を得る。
| 情報機器 | 社有機器 | 私有機器 |
|---|---|---|
| パソコン | 会社貸与パソコンを利用 | 私有機器の業務利用禁止 |
| スマホ、タブレット | 会社貸与品を利用 | 私有機器の業務利用禁止 |
| 通信機器(ルーター) | 会社貸与品を利用 | 私有機器の業務利用禁止 |
| 外部ストレージ | 会社貸与品を利用 | 私有機器の業務利用禁止 |
| Web会議システム | 会社貸与品を利用 | ヘッドセットは私有機器の利用可 |
| プリンタ(複合機) | 会社貸与品を利用 | 私有機器の業務利用禁止 |
7-2 社有機器の利用
社有機器を利用する場合、次のようにする。
- 社内標準ソフトウェアとは、パソコンやスマホを貸与した時にインストールされているソフトウェアである。
貸与後にソフトウェアの追加等がある場合には、管理本部から別途連絡する。
(1) パソコン
OS・ソフトウェアは自動更新を有効にして最新の更新プログラムをインストールして使用する。
ウイルス対策ソフトの定義ファイルは自動で更新される。
社内標準外ソフトウェアのインストールは禁止する。
(2) スマホ・タブレット
OSの更新等は、設定に従い行う。
社内標準外ソフトウェアのインストールは禁止する。
(3) USBメモリ
会社貸与品以外のUSBメモリの使用を禁止する。
7-3 私有機器の業務利用禁止
私有のパソコン、スマホ、タブレットの業務利用を禁止する。
7-4 ネットワーク機器のセキュリティ
テレワークで使用する通信機器(ルーター、スマホによるテザリングを含む)は、会社貸与品を利用する。
利用場所と通信機器・サービスを以下に示す。
(1) 自宅で利用する通信機器・サービス
貸与されたモバイルルーターによる接続、社内ネットワークへの接続はVPNを利用する。
貸与スマホによるテザリングによる接続、社内ネットワークへの接続はVPNを利用する。
貸与パソコンから自宅のネットワークの利用は原則禁止する。
- なお、やむを得ない状況の場合は、管理部長の許可を得て自宅のネットワークの利用を認める。
- ただし、業務データや重要情報の入力・表示が必要な場合にはVPNまたはSSL/TLS対応サイトを利用する。
(2) 外出先(自宅以外)で利用する通信機器・サービス
貸与されたモバイルルーターによる接続、社内ネットワークへの接続はVPNを利用する。
貸与スマホによるテザリングによる接続、社内ネットワークへの接続はVPNを利用する。
公衆Wi-Fiサービスの利用は原則禁止する。
- なお、貸与モバイルルーターやスマホの電波が届かない等、やむを得ない状況の場合は、管理部長の許可を得て公衆Wi-Fiサービスの利用を認める。
- ただし、業務データや重要情報の入力・表示が必要な場合にはVPNまたはSSL/TLS対応サイトを利用する。
7-5 テレワーク中のルール
(1) 電子メール、Webサイトの利用
電子メール、Webサイトを利用する場合は以下を順守する。
- 安易にメールの添付ファイルを開いたり、リンクを参照しない。
- Webサイトからファイルをダウンロードするときには、信頼できるサイトを利用する。
- 業務に関係がない不審なサイトにアクセスしない。
(2) クラウド・SNSの利用
個人的にクラウドサービスやSNSを利用することは禁止する。
管理部長の許可を受け利用する場合は以下を順守する。
- 業務関連データの送受信、保存、共有に利用しない。
- 社内、取引先との連絡に利用しない。
- 当社の秘密情報の書き込みは行なわない。
(3) 在宅勤務中の注意
在宅勤務では以下に注意する。
- 他者(家族を含む)にテレワーク用の情報機器を操作させない。
- 他者(家族を含む)から見えるところにテレワークで使うパスワードを書き記さない。
(4) 外出時の注意
自宅以外の外出先でテレワークを行うときには、以下に注意する。
- 必要な情報以外は持ち出さない。
- 機器や書類は目の届く範囲に置き放置しない。
- 離席するときはコンピュータをロックする。
- 不特定多数の人がいる場所では重要情報を画面に表示しない。
- 外出先で書類やCD・DVDなどの媒体を廃棄しない。
参照:7-4 ネットワーク機器のセキュリティ
7-6 重要なデータ・書類の管理
(1) 電子データの保存と消去
業務関連データのうち秘密情報または個人情報を貸与パソコンにダウンロードして作業する必要がある場合には、作業後に社内サーバーに保管し、貸与パソコンから削除する。
(2) 電子媒体・重要書類の保管と廃棄
秘密情報または個人情報を含む書類・印刷物・CD/DVDなどの媒体は、鍵付き引き出し、書類ケースに保管し、利用時以外は施錠する。
電子媒体または重要書類を廃棄する際は、「6-8 電子媒体・重要書類」による。
7-7 テレワークについての問い合わせ及び情報セキュリティ事故発生時の対応
(1) テレワークについての問合せ先
テレワークのことで分からないことがある場合、情報システムグループに問い合わせる。
(2) 緊急連絡先
テレワークにおいて、ウイルス感染の疑いや、情報機器や書類の紛失・盗難などのセキュリティ事故が起きてしまったら、すみやかに以下に連絡する。
「4-4 事故発生時の対応手順」に示す緊急連絡先(管理部長携帯電話)
まとめ
ここでは、情報システムを使う「中小企業の情報セキュリティ対策ガイドライン」について、以下の4つに分けて説明しました。
テレワークのルール ← この記事
先送りしたい気持ちもあるかと思いますが、起きてから後悔しないですむように、現状を知り、セキュリティ対策に取り組むことが必要です。
