弁護士コラム・論文・エッセイ
重富弁護士著作 詳細
弁護士 重富 智雄
2022年03月04日
狙われるテレワーク~情報漏洩リスクへの法的側面からの対処法~
(丸の内中央法律事務所報No.40, 2022.1.1)
1.ニューノーマルな働き方の急拡大
新型ロナウイルス感染症の蔓延に伴い、我が国でもニューノーマルな働き方の一つとしてテレワークの導入が推奨され、多くの企業・組織でテレワークが導入されました。
テレワークとは、「テレ(Tele)離れたところで」と、「ワーク(Work)働く」をあわせた造語です。
テレワークで業務を実施する際は、従業員の自宅等からVPN(仮想専用ネットワーク)経由で社内システムにアクセスしたり、TEAMSやZoom等のWEB会議サービスを利用したりするなどして、外部とネットワーク通信をすることとなります。
本稿事執筆時点(2021年12月)の時点では、我が国での新型コロナウイルスの感染状況は落ち着きを見せておりますが、当面の間は、週3日在宅勤務(テレワーク)・週2日出社などのように、テレワークと出社を組み合わせたハイブリッド型を選択する企業が多くなるものと予想されます。
2.狙われるテレワーク
しかし、こうしたテレワークの導入は、従業員の利便性を向上させる反面、情報漏洩のリスクが増大させてしまうという側面があります。テレワークの導入は、多くの組織にとって急激な執務環境の変化であったところ、この変換期を狙った攻撃が増加しております。
独立行政法人情報処理推進機構(IPA)では、情報セキュリティの専門家らが選出・順位付けした情報セキュリティへの脅威を取りまとめた資料「情報セキュリティ10大脅威2021」を公表しているところ、今年から新たに「テレワーク等のニューノーマルな働き方を狙った攻撃」という脅威が追加され、一気に3位にランクインされる事態となっております。
実際、2020年8月には、大手企業で従業員が在宅勤務時に社用のノートパソコンにマルウェア(悪意のあるソフトウェア)を感染させてしまい、グループの従業員の名前、メールアドレスなどの個人情報のほか、サーバのログ、通信パケット、サーバ設定情報等が漏洩するという情報漏洩事件が発生しました。この事件では、従業員が在宅勤務時に社用のノートパソコンで、社内ネットワーク(上記VPN)を経由せずに会員制交流サイト(SNS)に接続した際、ソーシャルエンジニアリング(人間の心理的な隙や行動のミスにつけこんで情報を入手する方法)によって第三者から受信、ダウンロードしたファイルからコンピュータウイルスに感染させてしまい、その後、出社時に社内ネットワークにこのパソコンを接続したことで、社内にウイルスを広げてしまい、情報漏洩を引き起こしてしまいました。
そこで、このような事件を未然に防ぐために、テレワークを導入・継続する上で組織として整備しておくべき体制や対処法について、特に法的側面からのポイントを整理していきたいと思います。
(独立行政法人情報処理推進機構「情報セキュリティ10大脅威2021」:https://www.ipa.go.jp/security/vuln/10threats2021.html)
3.テレワークを導入・継続する上で整備しておくべき体制や対処法について
(1)就業規則の整備
通常勤務とテレワーク勤務において、労働時間制度やその他の労働条件が同じである場合は、就業規則を変更しなくても、既存の就業規則のままでテレワーク勤務が可能です。
しかし、テレワークを導入・継続するに際しては、「就業場所」、「始業時刻」、「終業時刻」などの取り扱いについて変更せざるを得ない場合が多く、また、「通勤手当」などの手当の項目についても、通常の就業規則をそのまま適用することは困難な場合が多いでしょう。
そして、テレワークと出社を組み合わせたハイブリッド型が選択される可能性も多いことからすると、現在の就業規則を修正して対応するのではなく、この機会に、通常の就業規則とは別に、「在宅勤務制度に関する就業規則」を作成した方が良いでしょう。
「在宅勤務制度に関する就業規則」の具体的内容及び制定手続きについては、厚生労働省が発表する「テレワーク モデル就業規則〜作成の手引き〜」(https://www.tw-sodan.jp/dl_pdf/16.pdf)が参考になるかと思われます。
(2)情報管理規定の整備
通常であれば、秘密情報については社外への持ち出しは禁止され、厳格に企業内部で保管しているケースが多いかと思います。しかし、テレワークを実施する上では、業務上の情報を一部自宅に持ち帰って利用するなど、情報をある程度社外に持ち出すことを前提に制度を設計せざるを得ません。
不正競争防止法における「営業秘密」(第2条第6項)としての保護を受けるためには、
①秘密として管理されていること(秘密管理性)、
②有用な技術上又は営業上の情報であること(有用性)、
③公然と知られていないこと(非公知性)、
の3つの要件を満たす必要があるところ、テレワークへの切り替えを進めるにあたっては、特に秘密管理性という要件をどのようにして確保するかが問題となります。
会社として、自社が保有している情報のうち秘密として管理しようとする情報の範囲を明確にするとともに、当該情報に対する従業員の予見可能性を確保する必要があるところ、どのような措置(秘密管理措置)を実施するかについて検討する必要があります。
これまでに制定されている各種情報取扱規定等については、テレワークの実施を想定していないものが多いことから、実効性のある情報取扱規定を制定するためには、関連規定を改めて見直し、通常勤務における情報の取り扱いに関する規定に加えて、テレワークの実施を念頭に、必要な場合には秘密情報の社外への持ち出しを認めつつ、その場合におけるルール(秘密管理措置)を定めることが重要です。
例えば、「秘密情報」について、その重要性に応じて「極秘情報(社外持出禁止)」、「関係者外秘情報(社外持出は一定の場合のみ)」、「対外秘情報(社外持出可、ただし管理を徹底すること)」などのように区分し、区分ごとの取り扱い方法を定め、テレワークを実施する際の社外への持ち出しが許容されているかどうかを区別するなどの方策も考えられます。
テレワーク時における秘密情報管理の詳細については、経済産業省知的財産政策室が発表した「テレワーク時における秘密情報管理のポイント(Q&A解説)」が参考になります(https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/teleworkqa_20200507.pdf)。
(3)テレワークを実施する従業員への定期的な研修教育の実施
テレワーク環境における情報漏洩事故を防ぐためには、テレワークを実際に実施する従業員に、テレワーク環境における特有のセキュリティリスク等について認識を持たせることが必要です。
また、情報漏洩事故が発生してしまった場合に備えて、初動体制の確認、連絡体制や対処手順等についてもあらかじめ定めるほか、演習訓練を行うことも必要でしょう。
(4)技術的側面からの情報漏洩対策
技術的側面からの情報漏洩択策としては、①情報のレベル分けに応じたファイルのアクセス制御や暗号化、②WEBブラウザのフィルタリング、③インストールできるアプリケーションの限定、④ランサムウェアへの感染に備えたバックアップの保存、⑤VPNの利用といった対策から、⑥セキュリティ関係企業が提供する様々なソリューションを導入するといった手段が考えられますが、導入コスト等も考慮しながら検討する必要があります。
この点、内閣サイバーセキュリティセンターから指針が公開されており、「テレワークを実施する際にセキュリティ上留意すべき点について」(https://www.nisc.go.jp/active/general/pdf/telework20200414.pdf)や、「テレワーク等への継続的な取組に際してセキュリティ上留意すべき点について」(https://www.nisc.go.jp/active/general/pdf/telework20200611.pdf)などの指針が参考になるかと思われます。以下項目のみ列挙します。
《テレワークを実施する際の留意点》
➢堅牢なパスワードや多要素認証を使用すること
➢端末や機器を最新のものにアップデートすること
➢ 業務を装ったメールや不審なメールに注意すること
➢ 通信を暗号化すること
➢ 端末の盗難、紛失に注意すること(データの暗号化)
➢他者からの盗み見(ショルダーハッキング)や大声での電話会議による情報漏洩、無線LANのセキュリティ設定に注意すること
➢ 事故が生じた場合の連絡手順を確認すること
《テレワークを継続する際の留意点》
➢ テレワークの利用状況に応じた情報セキュリティリスクの再評価
➢ 組織におけるポリシーの確認と必要に応じた改定
➢ 利用端末・関連機器等の確認
➢支給端末・支給外端末の利用に関するルールや手続きの確認
➢ インターネット回線や公衆通信回線等の組織外通信回線を利用する際のセキュリティの確保
➢ 遠隔会議システムの利用状況の確認
➢ 情報セキュリティ対策推進部署の関与の確認
