ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

テレワークの規定はどうつくればいい?ISMSで考えるテレワーク

2020年5月20日

テレワークの規定はどうつくればいい?ISMSで考えるテレワーク

テレワークの規定はどうつくればいい?

ISMSで考えるテレワーク 本コラムでは、コロナウィルスの影響でテレワークが導入された企業様向けに、テレワーク規定はどう作成すればよいかという内容をISMS(ISO27001)と絡めてご紹介させていただきます。

実はISMS(ISO27001)でもテレワークを実施するのであれば管理策を決定しましょうという要求事項があります。

下記付属書Aに記載されている内容となります。

―――――――――――――――――――――――――――――――――――

A.6.2 モバイル機器及びテレワーキング 目的 モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため。

A.6.2.2 テレワーキング 管理策 テレワーキングの場所でアクセス,処理及び保存される情報を保護する ために,方針及びその方針を支援するセキュリティ対策を実施しなければ ならない。

 

と言うような内容となっています。

簡単に言うと、社外で作業を行う会社はテレワークに関する方針・ルール・セキュリティ対策を決めなければならないということです。

 

ただISMSの要求で言うとどこまでやらなければいけないかという点が明確に記載されていません。

ですので、必ずVPNでつないで作業を行わなければいけないなどの要求はなく、自社内でどれだけ漏洩などのリスクがあるかを考慮してルールを決めていけば問題ありません。

■一般的な管理策の例

・使用するPCは会社から貸与されたものを使用すること

・第3者に貸してはならない

・PCにはセキュリティソフトを導入し、パスワードロックをかけること

・作業は自宅のみとしカフェや新幹線内の使用は禁止する

・フリーWi-Fiに接続してはならない 上記が基本的なルールになるかと思いますが、そこに自社内で決定したルールを付け足していけばテレワーク規定ができてきます。

この規定を就業規則に入れ、違反があった場合は罰則の対象にされている会社などもあります。

就業規則の作成の仕方にお困りの企業は、弊社のグループ会社に社労士事務所がございますので是非ご相談ください。

社会保険労務士法人 閃光舎

〒246-0023 神奈川県横浜市瀬谷区阿久和東2-5-13 TEL:045-360-5560 FAX:045-360-5561

http://senkousha.or.jp/ ではルールは決まったとして、その他にテレワークにおける情報セキュリティ対策の考え方として重要なことが2点あります。

詳しくは総務省が発行しております、 「テレワークガイドライン」https://www.soumu.go.jp/main_content/000545372.pdf を参考にしていただければと思いますが、その2点とは「人」と「技術」です。

■「人」 ルールを決め技術的なセキュリティ対策を導入しても人がこれを守らなければ効果は発揮されません。

一番難しく重要な点かもしれません。

管理責任者の方、部門長の方、ルールを策定されている方などが実施しなければいけないのが「ルールの共有・周知」「必要に応じて教育の実施」となります。

人についてはテレワークに限らず重要ですが、実際に在宅で勤務するとなると大きく環境が変わりそれだけでリスクがでてきます。

うちは人数が少ないから、逆に人数が多くて大変だなと思われるかもしれませんが、教育については1回の教育で正直意識はあがりません。

定期的に繰り返しやらないと効果はなかなか出ず、皆さまが今実施している定期的な会議で5分、10分でも構いませんのでセキュリティについてお話する時間を作ってはどうでしょうか。

■「技術」 技術については「ルール」「人」に対応できない部分を補完するものです。

「認証」、「検知」、「制御」、「防御」を自動的に実施するものでテレワークの環境下ではセキュリティ維持のために適切に対応を講じておく必要があります。

しかし技術的な対応はコストがかかってきます。

取り入れれば入れるほどお金はかかりますのでこちらも自社内のリスクを評価して取り入れていく必要があります。 実際に何を取り入れたらいいかわからない方は、4つの要求から考えてみてはいかがでしょうか。

 

① 顧客要求 取引している企業からこれは取り入れてくださいという要望が出ているもの。

② 社内要求 社長や経営層の決定で取り入れたほうがいいもの。

③ 規格要求 ISMSの要求で求められるもの、またその他認証を受けていて取り入れなければならないもの。 ISMSの要求は弊社が理解していますのでお困りの方はご気軽にご連絡ください。

④ 法的要求 法令で要求されているもの。

 

まとめ

一般派遣を取得されている企業では派遣法などの要求があるかもしれませんが、今回のテレワークではあまりないかもしれません。

先ほどもお話にでましたが、総務省が発行している「テレワークガイドライン」https://www.soumu.go.jp/main_content/000545372.pdfに実際に対応するべき項目がたくさん記載されていますので是非参考にしてみてください。

それでもわからない、ひな形が欲しいという方は下記へお問い合わせください。

認証パートナーは、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。

無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。