2020年5月20日

テレワークの規定はどうつくればいい?
ISMSで考えるテレワーク 本コラムでは、コロナウィルスの影響でテレワークが導入された企業様向けに、テレワーク規定はどう作成すればよいかという内容をISMS(ISO27001)と絡めてご紹介させていただきます。
実はISMS(ISO27001)でもテレワークを実施するのであれば管理策を決定しましょうという要求事項があります。
下記付属書Aに記載されている内容となります。
―――――――――――――――――――――――――――――――――――
A.6.2 モバイル機器及びテレワーキング 目的 モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため。
A.6.2.2 テレワーキング 管理策 テレワーキングの場所でアクセス,処理及び保存される情報を保護する ために,方針及びその方針を支援するセキュリティ対策を実施しなければ ならない。
と言うような内容となっています。
簡単に言うと、社外で作業を行う会社はテレワークに関する方針・ルール・セキュリティ対策を決めなければならないということです。
ただISMSの要求で言うとどこまでやらなければいけないかという点が明確に記載されていません。
ですので、必ずVPNでつないで作業を行わなければいけないなどの要求はなく、自社内でどれだけ漏洩などのリスクがあるかを考慮してルールを決めていけば問題ありません。
■一般的な管理策の例
・使用するPCは会社から貸与されたものを使用すること
・第3者に貸してはならない
・PCにはセキュリティソフトを導入し、パスワードロックをかけること
・作業は自宅のみとしカフェや新幹線内の使用は禁止する
・フリーWi-Fiに接続してはならない 上記が基本的なルールになるかと思いますが、そこに自社内で決定したルールを付け足していけばテレワーク規定ができてきます。
この規定を就業規則に入れ、違反があった場合は罰則の対象にされている会社などもあります。
就業規則の作成の仕方にお困りの企業は、弊社のグループ会社に社労士事務所がございますので是非ご相談ください。
社会保険労務士法人 閃光舎
〒246-0023 神奈川県横浜市瀬谷区阿久和東2-5-13 TEL:045-360-5560 FAX:045-360-5561
http://senkousha.or.jp/ ではルールは決まったとして、その他にテレワークにおける情報セキュリティ対策の考え方として重要なことが2点あります。
詳しくは総務省が発行しております、 「テレワークガイドライン」https://www.soumu.go.jp/main_content/000545372.pdf を参考にしていただければと思いますが、その2点とは「人」と「技術」です。
■「人」 ルールを決め技術的なセキュリティ対策を導入しても人がこれを守らなければ効果は発揮されません。
一番難しく重要な点かもしれません。
管理責任者の方、部門長の方、ルールを策定されている方などが実施しなければいけないのが「ルールの共有・周知」「必要に応じて教育の実施」となります。
人についてはテレワークに限らず重要ですが、実際に在宅で勤務するとなると大きく環境が変わりそれだけでリスクがでてきます。
うちは人数が少ないから、逆に人数が多くて大変だなと思われるかもしれませんが、教育については1回の教育で正直意識はあがりません。
定期的に繰り返しやらないと効果はなかなか出ず、皆さまが今実施している定期的な会議で5分、10分でも構いませんのでセキュリティについてお話する時間を作ってはどうでしょうか。
■「技術」 技術については「ルール」「人」に対応できない部分を補完するものです。
「認証」、「検知」、「制御」、「防御」を自動的に実施するものでテレワークの環境下ではセキュリティ維持のために適切に対応を講じておく必要があります。
しかし技術的な対応はコストがかかってきます。
取り入れれば入れるほどお金はかかりますのでこちらも自社内のリスクを評価して取り入れていく必要があります。 実際に何を取り入れたらいいかわからない方は、4つの要求から考えてみてはいかがでしょうか。
① 顧客要求 取引している企業からこれは取り入れてくださいという要望が出ているもの。
② 社内要求 社長や経営層の決定で取り入れたほうがいいもの。
③ 規格要求 ISMSの要求で求められるもの、またその他認証を受けていて取り入れなければならないもの。 ISMSの要求は弊社が理解していますのでお困りの方はご気軽にご連絡ください。
④ 法的要求 法令で要求されているもの。
まとめ
一般派遣を取得されている企業では派遣法などの要求があるかもしれませんが、今回のテレワークではあまりないかもしれません。
先ほどもお話にでましたが、総務省が発行している「テレワークガイドライン」https://www.soumu.go.jp/main_content/000545372.pdfに実際に対応するべき項目がたくさん記載されていますので是非参考にしてみてください。
それでもわからない、ひな形が欲しいという方は下記へお問い合わせください。
認証パートナーは、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ