第4章 人的資源のセキュリティ
雇用前
【管理目的】従業員、契約相手及び第三者の利用者がその責任を理解し、求められている役割にふさわしいことを確実にするとともに、盗難、不正行為、又は施設の不正使用のリスクを低減するため。
【管理方針】情報資産の従業員による、誤用、不正使用を防止する為の枠組みを確立維持する。
役割及び責任
【要求事項】
従業員、契約相手及び第三者の利用者のセキュリティの役割及び責任は、組織の情報セキュリティ基本方針に従って定義し、文書化すること。
【実施管理策】
(1) 職務定義:従業員の職務定義に、重要情報にアクセスする責任を明確に含める。
(2) 遵守評価:全従業員に対する、セキュリティポリシー遵守の状況を評価しなければならない。
選考
【要求事項】
従業員、契約相手及び第三者の利用者のすべての候補者についての経歴などの確認は、関連のある法令、規則及び倫理に従って行うこと。また、この確認は、事業上の要求事項、アクセスされる情報の分類及び認識されたリスクに応じて行われること。
【実施管理策】
(1) 内定者の信用チェック:全ての採用内定者に対して、信用調査と身元調査が行われることを通知しなければなれない。もし開示に応じない場合は、採用が取り消される。
(2) 内定者個人情報:採用予定内定者の個人情報は、採用決定に関する業務以外に収集してはならない。
(3) 採用内定者の生活習慣情報等:採用予定者に対して、業務上絶対必要でない限り、生活習慣、政治、宗教上の質問をしてはならない。
(4) 採用予定者への情報公開:採用予定者に、採用の機密保持契約を締結するまでは、情報システムの詳細、ネットワーク構造、アドレス、セキュリティソフトの詳細等を公開してはならない。
(5) 自己都合退職者の再雇用:正社員、コンサルタント、契約社員等が自己都合により退職したものは、経営陣の書面による許可が無い限り、再雇用してはならない。
(6) 新入社員の試用期間:全ての新入社員、再雇用社員及び職務怠慢社員は、6ヶ月間の試用期間を置き、評価後に雇用、解雇を決定する。
(7) 社員に対する保険:特別に重要なシステムに従事する従業員には最低1億円の身元保証保険を掛ける。
(8) 重要プロジェクトの任命:最低2年間の優秀な業績を示したもののみを、重要プロジェクトの要員として任命できる。
(9) 前科:重要な情報を取り扱う業務に、前科のある者を求人してはならない。
(10) コンピュータ関連責任者:前科のある者を、コンピュータ関連部署の責任者にしてはならない。
(11) 身元調査:情報システム部門の責任ある立場に従事する全従業員は、犯罪歴、訴訟歴、信用調査、運転免許歴、前職歴等の身元調査を行う。
(12) うそ発見器:当社の全従業員は、情報システム部門の責任ある立場に着任する際、うそ発見器による検査を受けなければならない。
(13) 個人情報のアクセス:個人情報を取り扱う業務に従事する従業員は、事前に身元調査を受けなければならない。
(14) 重要な製品情報:マーケティング、設計、製造部門において、重要な製品情報にアクセスする全従業員は、事前に人事部門による、身元調査を受けなければならない。
(15) 従業員の指紋採取:身元調査を実施する上で、犯罪歴等にアクセスする従業員は、事前に指紋を採取すること。
(16) 誠実さと精神安定テスト:情報システム部門の責任ある立場に従事する全従業員は、人事部門による誠実さと精神安定のテストを受けなければならない。
(17) 非正社員の身元調査:重要情報にアクセスする派遣社員、コンサルタント等、非正社員も正社員同様の身元調査を実施する。
(18) 外国人:当社の情報システム業務に外国人を従事させてはならない。
(19) 元ハッカーや更正した犯罪者:元ハッカーや更正した犯罪者を情報セキュリティ関連や法務部門の仕事に従事させてはならない。
(20) 顕著な富:ある社員が急に裕福になったら、経営陣は慎重にその富の源泉を調べる必要がある。
雇用条件
【要求事項】
従業員、契約相手及び第三者の利用者は、契約上の義務の一部として、情報セキュリティに関する、これらの者の責任及び組織の責任を記載した雇用契約書に同意し、署名しなければならない。
【実施管理策】
(1) 知的所有権:当社の社員は、会社での特許、著作権、発明等知的財産の占有権を会社に対して与えなければならない。
(2) 退職時の処理:社員及び契約社員が退職する際の退職金等は、仕事に使用していたハード、ソフト、機密情報等を全て返却されなければ支払われない。
(3) 社員の出張:同一目的地への飛行機による出張は、3人以上の幹部社員、5人以上の従業員、2人以上の技術者は、同じフライトに搭乗してはならない。
(4) 内部告発:当社は、様々な場所へ予告なく現れ、従業員のセキュリティポリシー遵守状況を会社へ報告する、内部告発者を使用する。
(5) 競合情報の収集:マーケット情報等競合情報を収集する従業員は、嘘や思い込みで誤った情報を当社に伝えてはならない。
(6) 社員情報記録の配布:年に1回、個人の社員情報記録について記載の間違いが無いか、本人にコピーを配布しなければならない。
(7) 労働安全衛生情報:経営者は労働安全衛生情報を公表しなければならない。
(8) 作業場所の危険物:経営陣は作業現場にある危険を従業員に伝え、リスクを減らす管理策を施し、その使用法を訓練しなければならない。
(9) 従業員自社株取引:従業員は自社株式を会計4半期末や、決算公表時期に売買してはならない。
(10) 性的、民族的、人種的いやがらせ:従業員は性的、民族的、人種的嫌がらせをしてはならない。
(11) 組織の敷地外での知的所有権:当社の従業員が、会社の利益の為に会社の敷地外で作成した、プログラムや書類の知的所有権は、当社に帰属する。
(12) 行動規範:全従業員は、当社の行動規範をよく読み、理解し、振る舞わなければならない。
(13) 承認基準:全従業員は当社の承認基準を良く理解しなければならない。
(14) 利益に反する行動:全従業員は当社の利益に反する行動を取ってはならない。
(15) 個人的関係:当社の従業員は、個人的に親密又は親戚関係にある企業と、取引をしてはいけない。
(16) 競合相手への転職:全従業員は競合相手への転職が決まったら、すぐに当社の経営陣に報告しなければならない。そして、従業員としての特権やアクセス権をすぐに取り消さなければならない。
(17) 従業員の退職:全従業員は、退職を決意したら直ちに当社に通知しなければならない。人事部門は直ちにしかるべき措置を取らなければならない。
(18) 解雇した第三者契約者:当社が解雇した第三者契約者が、再度当社に勤務しないように、第三者契約会社に通知する。
(19) 情報システム部門の解雇:情報システム部門に勤務していた従業員が解雇された場合、厳重に退職手続きを行う。
(20) 解雇従業員の同伴:全てのケースで解雇され社員の行動は、敷地の外に出ていく迄同伴監視される。
(21) 退職者の保管情報の返還:契約社員を含めた従業員が当社を退職する時、個人が保管していた全情報を返還しなければならない。
(22) 退職時の資産の返還:契約社員を含めた従業員が当社を退職する時、会社から預かった資産(ノートパソコン、入退室カード、ドキュメント類等の全て)を返却しなければならない。
(23) 連休の取得:経営陣はセキュリティ監査の為に、従業員が少なくとも5日以上の連休を取るようにしなければならい。
(24) 副業:従業員は副業をしてはならない。
(25) 副業の開示:従業員は、もし副業を行っている場合、経営陣に対してその内容を即時報告しなければならない。
(26) 顧客としての従業員:情報システム部門の責任ある立場のものは、当社の顧客であってはならない。
(27) 個人の事情の報告:従業員は、個人的事情の変化を直属の上司に報告しなければならない。
(28) 従業員の転籍:転籍を通告された従業員は、処遇に不満を持って当社の資産にダメージを与えさせない為、速やかに影響の少ない部門に異動させなければならない。
(29) 不満の解決:経営陣は従業員の不満を解決する手順を決め、適切な人材を任命する。
(30) 内密のカウンセリング:従業員は、個人的な問題も含め、内密にカウンセリングを受けられる。
(31) 薬と酒:専門医の指示を除いて、従業員は仕事場での薬と酒の使用は禁止される。
(32) IDバッジを外す:従業員は当社の施設を出たら、直ちにIDバッジを外さなければならない。
(33) IDバッジの管理:従業員は当社の敷地外で、IDバッジを安全に保管しなければならない。
雇用期間中
【管理目的】従業員、契約相手及び第三者の利用者の、情報セキュリティの脅威及び諸問題、並びに責任及び義務に対する認識を確実なものとし、通常の業務の中で組織の情報セキュリティ基本方針を維持し、人による誤りのリスクを低減できるようにすることを確実にするため。
【管理方針】情報資産の従業員による、誤用、不正使用を防止する為の十分な教育と違反の懲戒を公正に実施する。
経営陣の責任
【要求事項】
経営陣は、組織の確立された方針及び手順に従ったセキュリティの適用を従業員、契約相手及び第三者の利用者に要求すること。
【実施管理策】
(1) セキュリティ基本方針の周知を図る。
(2) 従業員及び関係する第三者に対する、教育訓練を実施する。
(3) セキュリティ実施状況を監視する。
(4) 違反に対する懲戒を公正に実施する。
情報セキュリティの意識向上、教育及び訓練
【要求事項】
組織のすべての従業員並びに、関連するならば、契約相手及び第三者の利用者は、職務に関連する組織の方針及び手順についての適切な意識向上のための教育・訓練を受け、また定めに従ってそれを更新すること。
【実施管理策】
(1) ポリシー理解度テスト:ユーザは当社の情報にアクセスする前に、セキュリティポリシーを読み、理解度テストに合格しなければならない。
(2) ポリシー、手順書の周知:個人情報に関するものを含め、セキュリティポリシー及び手順は、社員及び認可された外部の人間にのみ周知する。
(3) リモートアクセス訓練:当社の従業員は、リモートアクセスの使用を開始する前に、その訓練を受けなければならない。
(4) インターネット利用訓練:従業員は当社の施設を使用してインターネットを利用する前に、所属部門長の許可を得てインターネット利用に関するポリシーを読み、訓練を終えなければならない。
(5) 情報セキュリティポリシー読本:全ての当社の新入社員は、配属前に情報セキュリティポリシーに関し遵守すべきことが要約された読本を配布される。
(6) 情報セキュリティ訓練:従業員は、情報セキュリティについて十分な訓練を受けなければならない。
(7) 基礎的な職務訓練:従業員は情報セキュリティ訓練を受ける前に、新しい仕事に対する基礎訓練を完了していなければならない。
(8) 情報セキュリティポリシーの変更:従業員はセキュリティポリシーの変更について、確実に受け取れなければならない。
(9) 更新訓練:情報セキュリティ部門は、くり返し情報セキュリティ訓練を実施し、従業員にセキュリティ責任を自覚させ続けなければならない。
(10) 訓練時間:経営陣は従業員がセキュリティポリシー、手順及び関連する事項を勉強する十分な時間を割り当てなければならない。
(11) セキュリティポリシー合意書:従業員はセキュリティポリシー、手順を理解し、それに従う合意書に署名しなければならない。
(12) 情報セキュリティ講習会:従業員は3ヶ月に一度、情報セキュリティ講習会に参加しなければならない。
(13) コンピュータシステム利用許可条件:従業員は初めてコンピュータシステムの利用を開始する前に、情報セキュリティ訓練を終えなければならない。
(14) 業務システムの利用訓練:従業員は初めて業務システムの利用を開始する前に、そのシステム操作訓練を受けなければならない。
(15) 情報セキュリティ合意書の更新:従業員及び情報セキュリティに関係する人は、毎年情報セキュリティ合意書の署名を更新しなければならない。
(16) 技術スタッフの訓練:技術スタッフに対して、職務を遂行する為に十分な訓練を継続しなければならない。
(17) 情報セキュリティの責任:日々の情報セキュリティに関する責任は、情報セキュリティ部門だけでは無く、全従業員の責任でなければならない。
【関連文書】「教育訓練年間計画書」「教育訓練実施報告書」
懲戒手続
【要求事項】
セキュリティ違反を犯した従業員に対する正式な懲戒手続を備えること。
【実施管理策】
(1) 不服従の結果:セキュリティポリシー、スタンダード、手順に対する服従は、解雇を含めた懲罰の対象である。
(2) 違反の結果:1回目のセキュリティポリシー、スタンダード及び手順違反は警告をし、2回目は人事ファイルに記録され、3回目は5日間の無給謹慎、4回目は訴訟を検討する。
(3) ストックオプションの無効:ストックオプションの権利を持つ社員が機密漏洩を行ったら、その権利を無効にする。
(4) 解雇:会社の資産を盗難、あからさまな不服従、重罪の有罪判決を受けた等、特段の経営陣による特赦が無い限り、これらを犯した従業員は解雇される。
(5) 解雇した従業員の不正使用:PCが解雇された従業員の脅迫により使用されていることが判り次第、直ちにネットワークから切断し、ハードディスクをフォーマットしソフトを再インストールしなければならない。
【関連文書】「就業規則(外部文書)」
雇用の終了又は変更
【管理目的】従業員、契約相手及び第三者の利用者の組織からの離脱又は雇用の変更を所定の方法で行うことを確実にするため。
【管理方針】従業員の雇用終了後、情報資産の保護の為の手続きを確立,維持する。
雇用の終了又は変更に関する責任
【要求事項】
雇用の終了又は変更に関する責任は、明確に定義し、割り当てること。
【実施管理策】
(1) 情報セキュリティに影響のある雇用の終了又は変更は、それが判明したら即座に人事部長は情報セキュリティ管理責任者に報告しなければならない。
(2) 情報セキュリティ管理責任者は、雇用の終了又は変更が実施されたら直ちに、以下7.2及び7.3に述べる管理策を実施しなければならない。
資産の返却
【要求事項】
すべての従業員、契約相手及び第三者の利用者は、雇用、契約又は合意の終了時に、自らが所持する組織の資産すべてを返却すること。
【実施管理策】
(1) 情報セキュリティ管理責任者は、該当する返却資産を特定しなければならない。
(2) セキュリティ管理責任者は返却された資産の使用状況について精査しなければならない。
アクセス権の削除
【要求事項】
すべての従業員、契約相手及び第三者の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了時に削除し、また、変更に合わせて修正すること。
【実施管理策】
情報セキュリティ管理責任者は、該当するアクセスの記録、事象の記録を識別し、適切に保存しなければならない。
情報セキュリティ管理責任者は、雇用の終了又は変更の実施後速やかに全てのアクセス権限を削除し泣ければならない。
コメントする