今回も本ブログをご覧いただき、ありがとうございます。

　

弁護士・税理士の鳥光でございます。

　

今回は情報セキュリティに関するお話の１６回目となります。

　

前回に引き続き、顧客情報など機密性の高い情報を外部の事業者等の管理下に保管する場合に、相手となる事業者等に提示すべきセキュリティ要件のうち、人的な側面に関するものについて説明します。

　

２つめの人的要件は、機密情報に携わる従業員等のセキュリティリテラシーです。

　

一般的には、システムの開発や保守運用に関わる従業員は、ある程度のセキュリティリテラシーを有していると考えられます。
しかし、ネットワーク技術者なのか、アプリケーションエンジニアなのかといった、取り扱い分野によってセキュリティリテラシーの程度は変わることはあります（セキュリティリテラシーが高い分野とそうでない分野がある）し、入社して間もない方と長年業務にあたっている方とでもセキュリティリテラシーのレベルは違うと考えられます。

　

IT技術者でない従業員も機密情報を扱う可能性がある場合には、よりセキュリティリテラシーレベルを一定以上のものに保つことが重要となります。

　

そこで、機密情報に携わるすべての従業員等に対するセキュリティ教育を施し、全員が一定程度以上のセキュリティリテラシーを有するようにしていることを要件とすることが考えられます。

今回も本ブログにアクセスしていただき、ありがとうございます。

　

弁護士・税理士の鳥光でございます。

　

情報セキュリティに関するお話しの１５回目です。

　

今回からは、顧客情報など機密性の高い情報を外部の事業者等の管理下に置く場合に提示すべき要件のうち、人的側面に関するものについて説明していきます。

　

まずは、入退館管理についてです。

　

ベネッセの情報漏洩事件においては、業務の委託を受けていた人物が業務PCに私物のスマートフォンを接続し、機密情報を抜き出しました。

　

そして、裁判所は、私物スマートフォンの持ち込みを制限していなかったことにつき、注意義務違反があるとしました。

　

大きなデータセンターなどにおいては、入退館の際の身元確認だけでなく、改札機を使用して物理的な入退館を制限し、かつ警備員等が目視している状態でカバンや持ち物をロッカーに預けないとサーバールームに入れないという運用を設けていることもあります。

　

サーバールームではなく、通常のオフィスからコンソールアプリケーションを使用してリモートアクセスをするケースにおいても、裁判例を踏まえると、機密情報を扱う業務にあたる従業員に対しては、執務室に持ち込める物品の制限を設ける必要もあります。

　

これらのことを踏まえると、入退出管理についての要件として、入退館時の身元確認、持ち込める荷物の制限を設けていることを提示することが考えられます。