テレワーク導入前に企業が定めるべきセキュリティ関連規定について

テレワークは、多様な製品やサービスが充実してきたこと、また新型コロナウイルスの流行などもあり導入が進んでいます。しかし、多様化したシステム構成、利用形態に対して従来のセキュリティ規定のままでは対応しきれません。

そこで以下では、企業がテレワーク導入前に定めておきたい、セキュリティ関連規定について解説していきます。

目次

経営者・システム管理者それぞれの役割と実施すべき対策

総務省では、2021年に「テレワークセキュリティガイドライン第5版」(https://www.soumu.go.jp/main_content/000752925.pdf)として、テレワークに関するセキュリティについて取りまとめています。

同ガイドラインでは、企業におけるセキュリティ対策の基本ルールを「情報セキュリティ関連規程」とし、これを作ることで組織としてのセキュリティを確保すべきとしています。

誰がどのような対策を実施すべきか、ポジション別に説明されていますので、以下でその内容を解説していきます。

なお、セキュリティが十分に確保されていない企業におけるリスクについてはこちらで説明しています。

セキュリティ規定に関する経営者の役割

経営者に求められることといってもたくさんありますが、代表的なこととしては「関連規程や対策の継続的見直し」が挙げられます。

サイバー攻撃は常に進化しており、リスクも常に変化します。
このことを踏まえ、一度適切に定めた規定等についても、継続的な見直しが求められます。経営者だと、当人が直接見直すというよりも、システム管理者に対して見直しの指示を出し、その状況の定期的確認を行うことになるでしょう。
そして、そのプロセスが効率的に実行できるよう仕組みとして整備。PDCAサイクルが円滑にまわるようにすべきです

テレワーク導入によって生じる環境の変化を踏まえたセキュリティポリシーの策定、データ保護の観点から情報の取扱いに関する重要度の方針を定めることも大切です。

セキュリティ規定に関するシステム管理者の役割

システム管理者の主な役割は、「経営者からの指示を具体化」していくことにあります。

経営者は、ITの専門的知見を有していないことが想定されますので、詳細なルールの策定はシステム管理者が担います。例えば「テレワーカーによるリムーバブルメディア(USBメモリなど)の使用を限定」「社内システムへのアクセスで必要になる認証機能に関して多要素認証を使う」などのルールを定めます。

また、作成したルールを従業員に遵守させ、ルールに沿った対策の企画・実施も重要な役割です。テレワーカーに対する研修なども必要に応じて検討すべきです。さらには、テレワークを実施していく上で見えてきた実情やサイバー攻撃の情勢も総合的に考慮し、対策の見直しの検討もしなくてはなりません。

テレワーク導入で重要な情報セキュリティ関連規程の構成とポイント

セキュリティ規定にもいくつかの分類があります。効果的な構成が示されていますので、その内容を説明するとともに、策定にあたってのポイントも解説していきます。

情報セキュリティ関連規程は3構成

情報セキュリティ関連規定は以下の3つから成ります。

  1. セキュリティポリシー(全体の根幹となる「基本方針」)
  2. セキュリティスタンダード(基本方針に基づいて実施すべきことをまとめた「対策基準」)
  3. セキュリティプロシージャ(対策基準の内容を実行する手順である「実施内容」)

テレワークを導入する企業間でも、内容は異なります。企業理念や経営戦略、業種、事業規模、情報資産などによっても変わってくるため、ひな形をそのままトレースしたのでは意味がありません。

「基本方針」について、基本的にシステム管理者が案文策定作業を行いますが、あくまで作成者は経営者であるべきです。組織としてのセキュリティに関する理念や方針を決める最重要項目だからです。
「対策基準」や「実施内容」についてはシステム管理者による策定が想定されます。

情報セキュリティ関連規程の策定ポイント

規程の策定ポイントを以下で簡単にまとめます。

  • 責任者を明確にする
    策定に携わる人材の確保と組織化を図る
    また、テレワーク中の事故に対して誰がどの役割を担うのか、事前に定める
  • 情報セキュリティ関連規程を意識させる
    社員全員に対してセキュリティ教育を実施し、自分の役割、どのようにしてルールを守るのか周知させる
    セキュリティに関する同意書にサインをしてもらうことなども意識向上に有効
  • 定期的な見直し
    定期的に実施状況を点検し、経営者が進捗や対策効果を把握できる体制を整える
  • 保護すべき情報を明確に分類
    効率的に十分な対策を取るため、保有する情報資産を「機密情報」「業務情報」「公開情報」などに分類し、その管理レベルに応じた対応を取る
    ※「機密情報」は個人情報や営業秘密など、「業務情報」は機密情報以外の非公開情報のこと
    ※情報の取扱方法は、社員がわかりやすいように例を示す

テレワークに対応したセキュリティ規程の例

IPAでは、テレワーク導入に際して定めるべき規定の一例が示されています。以下の内容を参考に、自社に適したルールを検討していきましょう。

(1)テレワークを行う場所
テレワークは従業者の自宅、会社の契約したサテライトオフィスとし、会社承認の無い場所でテレワークを行ってはならない。
(2)テレワークにおける情報セキュリティ確保
①情報資産管理および安全対策
・会社が貸与した機器、情報を善良な管理者の注意義務をもって取扱い、会社の業務以外に利用しない
・テレワークに使用する機器にはモバイル機器に行うと同等の情報セキュリティ対策を講じる
・利用する無線LANへのアクセス制限、通信の暗号化、同一LAN上の機器からのアクセス制限を行う
②同居者への留意事項
・同居家族や無権限者がシステムや情報へのアクセスすることを防止し、クリアデスク、クリアスクリーンを徹底する
  ・離席する際はシステムをログオフする。
  ・書類を廃棄する場合は、細断処理をする。
・会社の業務内容は他に漏らさず、家族等にも機密保持を求めること
(3)テレワークの開始
テレワークを行おうとするものは以下の事項について遵守することを誓約し、会社の承認を得る。
・テレワークにおける情報セキュリティ確保の責任を負うこと
・就業場所の安全衛生管理を自ら責任を負うこと
・就業時間の管理を適切に行うこと
・テレワーク就業中の連絡方法を確保すること
・テレワークに関する費用負担は会社の規程によること
(4)テレワークの終了
・会社がテレワークの承認を取り消した場合は速やかにテレワークを終了しなければならない。
・相当期間テレワークを行わない場合や、テレワークを終了しようとするときは会社に申請する。
・テレワークを行わないこととなった従業者は、テレワークのために会社から貸与されていた機器等を速やかに返却する。

https://www.ipa.go.jp/security/keihatsu/sme/guideline/

「YubiKey」で会社のコンプライアンスレベルを上げましょう

弊社では、GoogleやFacebookなどといった世界的企業をはじめ4,000を超える企業が利用している「YubiKey」をおすすめしています。

PCに挿すだけでセキュリティを多要素認証にでき、手間と費用を抑えながら、安心安全なシステム環境を整えられる「YubiKey」で、あなたの会社のコンプライアンスレベルを上げましょう。

※「YubiKey」取扱会社であるPJ-T&C合同会社は、弊社のパートナー企業です。

オンラインストア:https://yubikey.pj-tc.com/store/