緊急措置的に導入したテレワークを恒常施策とする際の留意点 - セキュリティ対策、教育・研修等の実施方法

IT・情報セキュリティ
小柏 光毅弁護士 弁護士法人片岡総合法律事務所 秋元 勇研弁護士 弁護士法人片岡総合法律事務所

 当社では、コロナ禍を契機として緊急措置的にテレワークを導入しましたが、昨今のテレワーク定着の流れを踏まえ、今後、テレワークを恒常施策として整備したいと考えています。恒常施策としてテレワークを整備する場合の具体的なプロセスや留意点等のうち、特にセキュリティ対策やその教育・研修方法に関するプロセス、留意点を教えてください。

 恒常施策としてテレワークを整備するにあたっては、前稿でも解説したとおり、ルールの制定、ICT環境の整備、セキュリティ対策といった本来のテレワーク導入プロセスを踏まえることが考えられます。また、各プロセスにおけるポイントを踏まえ、自社の状況にあわせて整備することが重要となります。前稿では、主にテレワークを恒常的に導入する際のプロセスのうち対象者・対象業務の範囲やシステムの精査方法等について解説しましたが、本稿では特にセキュリティ対策に加えて教育・研修等について解説します。

解説

目次

  1. テレワークの導入プロセス
  2. セキュリティ対策の必要性および対策の手順と留意点
    1. セキュリティ対策の必要性
    2. ルールによるセキュリティ対策
    3. 技術的なセキュリティ対策
    4. 物理的なセキュリティ対策
  3. 教育・研修等の実施
    1. 教育・研修等の内容
    2. 教育・研修等の方法
  4. 今後の展望

テレワークの導入プロセス

 前稿でも解説したとおり、恒常的な施策としてテレワークを導入するにあたっては、本来の導入プロセスを前提として、たとえば、下図のような導入プロセスを踏まえることが考えられます。具体的には、必要なルールの策定や、ICT環境を整備するなどの準備検討とともに情報漏えい等のリスクに対処するためのセキュリティ対策等を行うことが必要となると考えられます。

出典:厚生労働省「テレワークではじめる働き方改革 テレワークの導入・運用ガイドブック」44頁。

出典:厚生労働省「テレワークではじめる働き方改革 テレワークの導入・運用ガイドブック」44頁。

 本稿では、前稿と同様に、上記の厚生労働省によるガイドブックの内容も念頭に、テレワークを恒常的に導入するうえでのセキュリティ対策や教育・研修等についての検討事項について解説します。

セキュリティ対策の必要性および対策の手順と留意点

セキュリティ対策の必要性

 「緊急措置的に導入したテレワークの運用を見直す際のセキュリティに関する調査事項」でも解説したとおり、企業において、セキュリティ対策が不十分であったことに起因して、マルウェア(ウイルス等の悪意のあるソフトウェア)への感染や、端末(PC等)の紛失・盗難、外部からの不正アクセス等による情報漏えい等が発生した場合、個人情報保護法上の安全管理措置義務(同法20条)や従業者の監督義務(同法21条)違反となるおそれがあります 1

  • 第20条(安全管理措置)
    個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

 企業(個人情報取扱事業者)において、セキュリティ対策が不十分であったことに起因して情報漏えい等が発生した場合、当該情報が個人データに該当すると、当該企業は、個人情報保護法20条に基づく安全管理措置を講じる義務の履行が不十分であったと評価され、同条違反となる可能性があります。

  • 第21条(従業者の監督)
    個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

 また、たとえば、企業において、従業員が個人データの安全管理措置を定める社内規程等に従って業務を行っていることの確認を怠った結果、上記社内規程に違反した取扱いがなされ、個人データが漏えいした場合には、個人情報保護法21条違反となる可能性もあります。

 テレワークでは、従業員が業務に関わる情報をオフィス外で利用することとなるため、テレワークにおける不正アクセス等による情報漏えい等のリスクを防止・低減するために、オフィスにおけるセキュリティ対策とは別に、テレワーク特有のリスクに対応したセキュリティ対策を講じる必要があります。
 そこで、以下では、テレワーク導入に際して必要と考えられるセキュリティ対策の手順、留意点について、「テレワークではじめる働き方改革 テレワークの導入・運用ガイドブック」による整理に基づき解説します。

ルールによるセキュリティ対策

(1)セキュリティガイドラインの策定

 テレワーク導入時に必要と考えられるセキュリティ対策としては、まず情報を扱う業務に対して、組織として統一のとれた情報セキュリティの基本方針、行動指針を定める必要があります。この点について、通常は、①情報セキュリティに関する基本方針、②具体的な対策基準および③対策基準の実施手順等を定めた「セキュリティガイドライン」などを策定することが必要となります。

(2)情報管理ルール等の策定

 また、上記のセキュリティガイドラインを前提として、社内の紙媒体資料(非電子化資料)の持ち出しに関するルールやテレワーク時の具体的な行動ルールも決定する必要があります。この点について、すでに情報管理ルールを策定している企業であっても、テレワーク特有のルールを追加することが考えられるため、当該ルールのチェックと見直しをする必要があると考えられます 2

 なお、「緊急措置的に導入したテレワークの運用を見直す際のセキュリティに関する調査事項」および「緊急措置として利用を許可した支給外(私物)端末利用(BYOD)の利用実態の調査方法とアンケート書式例」で解説した、コロナ禍を機に緊急措置として導入したテレワークの運用見直しや恒常施策への切り替えを見据えた調査を行った場合には、当該見直しや調査により把握されたセキュリティリスクの有無、程度も踏まえて、ルール作りをすることが望ましいと考えられます。

技術的なセキュリティ対策

 また、テレワークによる情報漏えい等のリスクを低減するためには、ルールによるセキュリティ対策とあわせて、以下のような技術的なセキュリティ対策を行う必要があると考えられます。

(1)アクセスの管理・制限

 「緊急措置として利用を許可した支給外(私物)端末利用(BYOD)の利用実態の調査方法とアンケート書式例」で解説したとおり、テレワークにおいては、一般に従業員が自宅等の場所において使用する端末(PC等)を通じて、企業のシステム等にアクセスすることが想定されます。当該システム等に対するアクセス制御のための措置を十分に講じていない場合には、不正アクセスされた端末(PC等)内に保存されるデータ等に限らず、企業組織全体のデータ等の情報資産に対する改ざん、破壊、情報漏えい等が生じるおそれがあります。
 そこで、これらの課題に対応するために、以下のような措置を講ずることが考えられます。

  1. 本人認証
    • システム等へのアクセスが従業員本人によるものであることを認証する措置
  2. 端末認証
    • あらかじめ登録されている端末からのみのアクセスを許可する措置
  3. 端末管理
    • 従業員に貸与しているPC等の端末情報を一元的に管理する措置

(2)暗号による管理

 テレワークにおいて、従業員が使用する端末(PC等)が紛失したり、盗難に遭った場合でも、ただちに情報が漏えい等が発生する事態を防止するために、以下の3つの措置を講ずることが考えられます。

  1. ハードディスク(HDD)暗号化
    • 端末(PC等)自体に認証措置を講じている場合であっても、当該認証を突破され、当該端末に保存されている情報が漏えい等する可能性がある。そこで、このような事態を防止するために、ハードディスク内の情報を常に暗号化すること 、3 が考えられる。

  2. セキュアコンテナの導入
    • セキュアコンテナ(携帯電話等に暗号化された企業用の業務データエリア)を作成するソフトおよびサービスを利用し、携帯電話等の端末の紛失・盗難時に、セキュアコンテナのデータを遠隔操作により削除したり、ロックしたりすることが考えられる。

  3. 情報漏えい対策付きUSBメモリの利用
    • テレワークにおいて情報の持ち出しを許可する場合には、その媒体を暗号化機能、パスワードロック機能、ウイルスチェック機能を備えた情報漏えい対策付きのUSBメモリに限定することが考えられる。

(3)運用のセキュリティ

 テレワークにおいて、従業員が使用する端末(PC等)やサーバ等の情報を直接扱う機器のマルウェア感染や不正アクセスによる情報漏えい等のリスクを防止する必要があるところ、以下のような措置を講ずることが考えられます。

  1. 電子データの原本保存
    • 改ざん等がなされた情報を利用するリスクを防止するため、データを自動バックアップして、データが誤って削除された場合でもデータの呼び出しや復元ができるようにしたり、データの閲覧記録や作業記録を取得したり、システム内で行われた処理を監視、記録するソフトウェアを利用することが考えられる。
    • 電子データを保存した時刻の認証や電子署名、印刷データの電子化・管理を行うことも考えられる。

  2. ウイルス対策ソフトの導入等
    • 事前に従業員が使用する端末(PC等)内にウイルス対策ソフトを導入し 4、ウイルスの早期検知、検知した場合の駆除を行えるようにする必要がある。
    • マルウェア等の進化に対応すべく、ウイルス対策ソフトの導入後も当該ソフトを最新の状態にするアップデートを定期的に行うことも重要であり、最新のソフトが従業員の使用する端末(PC等)に反映されているか確認すること、定期的なウイルスチェック(ウイルススキャン)を実行することも必要となる。

(4)ネットワークのセキュリティ

 テレワークにおいては、通常、従業員が端末(PC等)を使用して、外部のネットワークを介して、社内ネットワークに接続することとなるところ、このネットワークのセキュリティの安全性が確保されていない場合には、情報漏えい等のリスクが生じることになります。このようなリスクを防止するために、以下のような措置を講ずることが考えられます。

  1. 安全な回線システムの導入
    • 外部ネットワーク利用時に、従業員があらかじめ定められたVPN回線に接続してアクセス(暗号化通信)するルールやシステム、不正な通過パケットを自動的に発見または遮断するシステムを導入することが必要となる。

  2. サーバ証明書の取得等
    • 第三者が当該企業のサーバになりすますこと(フィッシング等)により、テレワークを行う従業員が不正なサーバにアクセスすることを防止するため、サーバ証明書の取得等をすることも考えられる。

物理的なセキュリティ対策

 ルールによるセキュリティ対策、技術的なセキュリティ対策を講じた場合であっても、テレワークにおいて従業員が使用する端末(PC等)が盗難や破壊等されたり、紙媒体の資料が紛失してしまったりした場合には、なお情報漏えい等のリスクが生じ得ます。このようなリスクを低減するために、以下のような物理的なセキュリティ対策を行う必要があると考えられます。

  1. 端末(PC等)の施錠管理
    • 在宅勤務等の終了後は、従業員が自宅のキャビネット等において使用端末(PC等)を施錠管理することが望ましいと考えられる。

  2. ペーパーレス化
    • オフィス外に紙資料を持ち出すことによる紛失や盗難リスクを低減するためには、資料をすべて電子化(ペーパーレス化)することも有用と考えられる。

教育・研修等の実施

 テレワークを恒常施策として導入するにあたっては、テレワークについての教育・研修等も必要と考えます。

教育・研修等の内容

 教育・研修等においては、テレワーク時の勤務時間の管理方法、業務の計画・報告・連絡の方法、業務プロセスなどの労務管理に関する各種社内規程の内容および具体的運用方法について理解させるとともに、上記のテレワークにおける情報セキュリティ対策の必要性を理解させて、上記2−2記載のルールを周知、徹底することが重要と考えられます。

 その他テレワーク導入にあたっての教育・研修のポイントについては、厚生労働省委託事業のテレワーク相談センターのHP 5 において、「テレワーク導入にあたっての教育研修」についての解説がなされており参考になります。

教育・研修等の方法

 コロナ禍の昨今、すでにテレワークを実施している企業も含めテレワークに関する教育・研修等もオフィスでの集合研修等によるのではなく、e ラーニング等のインターネットを利用した方法により実施するのが適切であると考えられます。

今後の展望

 以上、全4稿にわたって、コロナ禍を受けて緊急措置的に導入したテレワークに関する振り返りおよびテレワークを恒常施策に切り替えるにあたっての導入プロセス等を解説しました 6

 本稿の執筆時点では、新型コロナウイルス第3波に伴い、政府による二度目の緊急事態宣言が発令される等、未だコロナ禍は収束をみていません。引き続き政府によりテレワークが推奨されるなどの昨今の時勢に鑑みれば、Withコロナ、Afterコロナの時代においても、テレワークはニューノーマルな働き方としてますます定着していくことが見込まれます。
 本稿がテレワーク導入、恒常施策への切り替えを検討する企業の一助となれば幸いです。


  1. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月、令和3年1月一部改正)において上記各義務との関係で事業者が講じるべき措置の内容について言及がされています(安全管理措置義務については同ガイドライン3-3-2、「8(別添)講ずべき安全管理措置の内容」参照。従業者の監督義務については同ガイドライン3-3-3参照) ↩︎

  2. なお、テレワークを実施するにあたって、社外への持ち出しを認める紙媒体が当該企業にとっての秘密情報にあたる場合には、当該情報について不正競争防止法による「営業秘密」(不正競争防止法2条6項)としての保護を受けるために、秘密情報の管理の態様や諸規程の整備状況を確認し、必要に応じてこれらの見直しをすることも有用と考えられます。この点については、令和2年5月7日付け経済産業省知的財産政策室「テレワーク時における秘密情報管理のポイント(Q&A解説)」において詳しく解説されています。 ↩︎

  3. もっとも、ハードディスク内を暗号化した場合でも、データそのものをEメールに添付したり、CD-ROMやDVD-ROMなどの媒体に移動させた場合には、暗号化前の状態(複合化)となるため、この点に留意が必要となります。 ↩︎

  4. シンクライアント型端末を利用する場合には、端末自体よりもサーバに対してウイルス対策ソフトを導入すると効果的、かつコスト面からみても有用とされています。 ↩︎

  5. 厚生労働省委託事業テレワーク相談センター「テレワーク導入にあたっての教育研修」(2021年3月19日最終閲覧) ↩︎

  6. なお、2021年3月25日には、厚生労働省より「テレワークの適切な導入及び実施の推進のためのガイドライン」も公表されています。同ガイドラインでは、テレワーク導入に際しての留意点やセキュリティ対応といった事項のほか、労務管理上の対応等についてもまとめられており、テレワークを恒常施策として整備するにあたっての参考になると考えられます。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する