今回も本ブログにアクセスしていただき、ありがとうございます。
弁護士・税理士の鳥光でございます。
情報セキュリティに関するお話しの15回目です。
今回からは、顧客情報など機密性の高い情報を外部の事業者等の管理下に置く場合に提示すべき要件のうち、人的側面に関するものについて説明していきます。
まずは、入退館管理についてです。
ベネッセの情報漏洩事件においては、業務の委託を受けていた人物が業務PCに私物のスマートフォンを接続し、機密情報を抜き出しました。
そして、裁判所は、私物スマートフォンの持ち込みを制限していなかったことにつき、注意義務違反があるとしました。
大きなデータセンターなどにおいては、入退館の際の身元確認だけでなく、改札機を使用して物理的な入退館を制限し、かつ警備員等が目視している状態でカバンや持ち物をロッカーに預けないとサーバールームに入れないという運用を設けていることもあります。
サーバールームではなく、通常のオフィスからコンソールアプリケーションを使用してリモートアクセスをするケースにおいても、裁判例を踏まえると、機密情報を扱う業務にあたる従業員に対しては、執務室に持ち込める物品の制限を設ける必要もあります。
これらのことを踏まえると、入退出管理についての要件として、入退館時の身元確認、持ち込める荷物の制限を設けていることを提示することが考えられます。
