ここでは、「情報セキュリティマニュアル 管理者編」のうち、
「Ⅱ.情報セキュリティに関する管理部の職務」の
「4.雇用に関する人的セキュリティに関する基本原則」について紹介します。
情報セキュリティマニュアル全体の構成については、以下をご参照ください。
Ⅱ.情報セキュリティに関する管理部の職務
4.雇用に関する人的セキュリティに関する基本原則
4.1 雇用及び契約前
4.1.1 採用審査及びその個別方針
管理部は、従業員の採用に当たっては、情報セキュリティの観点から人物の審査を行わなければならない。
4.1.2 採用条件
管理部は、機密保持等の情報セキュリティに対する従業員の責任を、「就業規則」等に規定する。
4.2 雇用及び契約期間中
4.2.3 違反に対する処置等
(1)従業員がこの規程及びその他の情報セキュリティに関して会社が定めるルールに違反した場合、当該従業員に対し警告を与えるとともに、警告に従わない場合は、必要に応じ事情聴取の上、社内ネットワーク及び社内情報システムの利用を制限又は禁止することができる。
さらに違反内容が悪質である場合には、以下の情報セキュリティ懲戒対象基準により、別途会社が定めるところに従って懲戒処分をすることがある。なお、種別及び重要度は「情報セキュリティ事故管理ガイドライン」に定めるものをいう。
- ①重要度B以上の情報セキュリティ事故を起こしたとき
- 事故の種別を問わない
- 故意、重過失を問わない
- ②重要度Cの「情報漏えい・流出」事故を起こしたとき
- 決められた対策を実施していなかったとき(重過失含む)
- 故意に事故を起こしたとき
- ③②にあたらないが、重要度Cの「情報漏えい・流出」事故をその内容の重複に限らず、直近1年以内に2度起こしたとき
- ④重要度C以上の情報セキュリティ事故を隠匿したとき
(2)会社は、部門・組織により導入された製品が既存の社内情報システムのセキュリティ等に障害を及ぼした場合、又は障害を及ぼす可能性が高い場合は、当該導入部門に対し、当該製品の設定変更や社内ネットワークからの切り離し等を命じることができる。
(3)会社は、「協力会社社員」がこの規程及びその他の情報セキュリティに関して会社が定めるルールに違反した場合、その雇用主等に是正を求めるとともに、状況に応じて、当該「協力会社社員」及びその雇用主等に対して民事、刑事上の責任を追及する。
(4)会社は、従業員が会社貸与機器・備品を紛失し、又は盗難に遭った際に、自らの責めに帰すべき事由がある場合には、当該従業員に対して、それにより会社が被った損害賠償を請求することができる。
(5)会社は、情報セキュリティ事故の当事者及びその上長が、重大な情報セキュリティ事故の発生を確認しているにもかかわらず報告をしなかった場合、別途会社が定めるところに従って、懲戒処分をすることがある。
4.3 雇用及び契約の終了又は変更
4.3.1 雇用及び契約の終了又は変更に関する責任
管理部は、従業員の雇用契約の中に、当該従業員が在職中に知り得た秘密情報、範囲指定情報及び個人情報を退職後も当該業務関係者以外のいかなる者に対しても開示又は漏洩してはならないという条項を含めなければならない。
4.3.2 アクセス権の削除
管理部は、当社の従業員が退職又は契約終了した場合、以下について情報システム室に実施させる。
(1)当社の従業員が退職又は契約終了した場合、退職日又は契約終了日をもって当該従業員に付与した全社ユーザ・アカウントが削除又は失効させる。
(2)当社の従業員が退職又は契約終了した場合、退職日又は契約終了日をもって当該従業員に付与した電子メールアカウントが削除又は失効させる。
まとめ
ここでは、「情報セキュリティマニュアル 管理者編」のうち、
「Ⅱ.情報セキュリティに関する管理部の職務」の
「3.雇用に関する秘密保持契約(誓約書)」について、以下の内容を説明しました。
- 雇用及び契約前
- 雇用及び契約期間中
- 雇用及び契約の終了又は変更
