お知らせNEWS

１　テレワークの普及

「テレワーク」という馴染みがなかった言葉が広く浸透するようになりました。

元々は，東京オリンピック・パラリンピックの開催期間における交通の混乱防止や，ワークライフバランスへの配慮という観点から導入が図られてきた働き方の工夫の一つであったテレワークですが，今般の新型コロナウイルス感染症の影響で，突如として，そして半ば強制的に，導入・普及が拡大したという実態があり，事業者として急遽対応に迫られているところだと思います。

「従業員等の感染抑止のため，テレワークを認めざるを得ないが，よく考えると情報セキュリティが心配だ」と考える事業者の方が少なくないように思いますが，一たび，情報漏洩事案が発生した場合，当該情報に関する損害賠償請求がなされたり，取引企業との取引停止に追い込まれたり，また，信用・評判悪化したり（レピュテーションリスク）と，事業遂行上，多大な悪影響が生じる可能性があります。

 

２　テレワークの適切な実施

そこで，いかにしてテレワークを適切に実施するかが課題となります。

テレワークを適切に実施するにあたっては，以下のガイドラインなどが参考になります。

①厚生労働省による「テレワークの適切な導入及び実施の推進のためのガイドライン」

（https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/koyou_roudou/roudoukijun/shigoto/guideline.html）

実施に当たっての全般的留意事項や，安全衛生を確保するためのチェックリストなどが記載されています。

②厚生労働省による「テレワークではじめる働き方改革」

（http://www.tw-sodan.jp/dl_pdf/14.pdf）

テレワークを導入し，普及していくためのプラクティスが説明されています。導入企業における具体的事例も紹介されています。

③厚生労働省による「テレワークモデル就業規則～作成の手引～」

（http://www.tw-sodan.jp/dl_pdf/16.pdf）

テレワークに関するモデル就業規則が紹介され，作成上の注意点が解説されています。

④厚生労働省による「テレワーク導入のための労務管理等Q&A集」

（http://www.tw-sodan.jp/dl_pdf/13.pdf）

テレワークの労務管理に関する問題がQ&A方式で解説されています。

➄総務省による「テレワークセキュリティガイドライン」

（https://www.soumu.go.jp/main_content/000752936.pdf）

テレワークを実施する際の情報セキュリティに関する対策やトラブル事例について，詳細に解説されています。

⑥総務省による「中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）」

（https://www.soumu.go.jp/main_content/000753141.pdf）

「セキュリティの専任担当者がいない」，「専門用語の仕組みまではわからない」といった方を対象として，テレワークを実施する際の最低限のセキュリティ確保のための手引きです。

 

３　セキュリティ対策の要点

テレワークを実施する際の情報セキュリティについては，中小企業の対応としては，上記⑥が非常に参考になりますが，以下では，「具体的に我が社は何をどうすべきか？」と考えるにあたって，その前提となる考え方及び要点を整理したいと思います。

まず，テレワークがない時代，情報を含めた事業者の資産は，事業者のオフィスの中で管理されていました。テレワークを行うということは，それが外部に出るということであり，「会社の資産が外部の目に触れる可能性が生じる」という発想を持つことが重要だと考えます。パソコンを社外で操作したり，インターネットを通じてやりとりを行うといったことで，ウイルス感染，サイバー攻撃，パソコンや記録媒体の紛失，ハッキングなどの脅威にさらされる可能性があるということです。

そこで，「外部の目に触れる可能性がある」という「脅威」についての対策が必要になるということとなります。

具体的には，

①　セキュリティソフトの導入・更新，通信の暗号化などの技術的対策

②　メール誤送信・誤開封，記録媒体の紛失，盗み見などの防止を実現する人的対策

③　トラブル発生時に被害を最小限にするための対策

に整理できると思います。

中でも②の人的対策が一番難しく，ルールを設定し，それを運用し，定着させることを継続的に行う必要があると思います。

 

４　その他留意すべき法令等

(1)　個人情報保護法

情報の中でも，特に「個人情報」の取扱いについては，個人情報保護法の規定があります。

同法では，事業者は，取り扱う個人データの漏洩，滅失又は毀損を防止するため，その他安全管理のために，必要かつ適切な措置を講じなければならないとされており（同法20条），事業者には安全管理措置を講じる義務があるとされています。

そして，この安全管理措置は，「個人情報の保護に関する法律についてのガイドライン（通則編）」（https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/）では，

①　基本方針の策定

②　個人データの取扱いに係る規律の整備

③　組織的安全管理措置

④　人的安全管理措置

⑤　物理的安全管理措置

⑥　技術的安全管理措置

の各項目に分けて詳細に説明されているところです（「８（別添）講ずべき安全管理措置の内容」参照）。

求められているのは，リスクに応じた必要かつ適切な措置であり，上記の全てに対応する必要はありません。他方，適切な手法は必ずしも上記の例示に限られるというものでもないため，事業規模・性質なども勘案して，必要かつ適切な措置の内容を検討する必要があることになります。

 

(2)　契約

「情報保護＝個人情報保護法」と考えてしまいがちですが，事業活動において取引先との間で締結する契約には，情報セキュリティに関する条項が設けられていることが少なくなく，同法のみならず，個別の契約でどのように扱われているかも確認する必要があります。

個人情報保護法では，上記(1)のとおり，リスクに応じた必要かつ適切な措置が求められていますが，個別の契約において，より具体的かつ明確に，採るべき対応が明記されていることが少なくありません。規定の趣旨に沿った対応が必要不可欠となります。

また，契約書の条項上，規定が抽象的で，何をどこまですべきかが不明確な場合があります。その場合，抽象的な理解のままにするのではなく，何をどこまですべきかというのを取引先と協議しておくというのが両社にとってメリットになるものと思います。

以　上