情報セキュリティの最大の脅威とも言える「人」に対して適切な対策を施すことは大変重要である。ここでは人的資源に対する情報セキュリティについて解説する。
4.7.1 人的セキュリティ対策実施の要点
人的セキュリティに関するISMSの要求事項
ISMSの管理策では、組織内部の人に対する対策について「人的資源のセキュリティ」として、主に次のように記述している。
- 全ての従業員候補者についての経歴などは確認し、事業場要求事項や情報の分離、リスクに応じて、関連する法令、規則、論理にしたがって行うこと
- 雇用契約書に情報セキュリティに関する各自の責任、組織の責任を記載すること
- 経営陣は全ての従業員、契約相手に対し、組織の方針及び手順に従った情報セキュリティの適用を要求すること
- 全ての従業員、契約相手は職務に関する組織の方針、手順について、意識向上のため教育・訓練を受けること
- 情報セキュリティ違反行為に対する正式かつ周知された懲戒手続きを備えること
- 雇用終了または変更後も有効な情報セキュリティに関する責任及び義務を定め、従業員や契約相手に伝達し、遂行させること
人的セキュリティ対策として実施すべき事項
ISMSの要求事項を踏まえ、人的セキュリティ対策として実施すべき事項を次に示す。
①社員の責任の明確化
- 業務で知り得た情報やノウハウなどを外部に漏らすことの禁止など、本来の目的から逸脱した取扱をしてはならない旨を就業規則などに明記する
- 社員は情報セキュリティポリシなどに従って業務を遂行する責任があることを就業規則などに明記する
- 情報セキュリティポリシに違反した場合には罰則が適用される旨をポリシに明記する
②体制面での対策
- 特定の社員に情報が集中しないよう職務分離をする
- 重要な作業などについては複数人で確認をしてミスを防ぐ体制にする
- 業務のバックアップ体制を整備する
- 業務内容を相互にテックし、牽制する体制を作る
③作業環境の整備、健康維持、メンタルケアなど
- 作業環境の問題や過労による健康障害、ミスなどが発生しないように対策を施す
- 社員のストレス、不満などをケアする体制や仕組みを整備する
④教育/訓練の計画及び実施
- 情報セキュリティに関する教育・訓練の実施計画を立案する
- 社員の職務や役割などに応じた効果的な教育カリキュラムを立案する
- 新規雇用、配属、契約、職責の変更などに応じた教育カリキュラムを立案する
- 情報セキュリティ教育体制を整備士、計画に従って定期的・継続的に教育を実施する
- 正社員のみならず、役員、契約社員、派遣社員、嘱託社員、出向社員、非常勤社員、臨時雇用社員(アルバイト)、協力会社社員などに対する教育・訓練を実施する。
- 教育・訓練の実施記録を残すとともに、実施効果を測定・分析する
- 教育・訓練の効果分析結果を評価し、教育実施計画やカリキュラムを見直す
⑤委託先の管理
- 業務の委託に際し、業務内容に応じて業者の情報セキュリティに対する能力、■などを審査し、選定する
- 委託先との契約にあたっては秘密保持に関する事項を盛り込むとともに、問題発生時の責任範囲、対応方法などを明確にする
- 委託先の情報管理、セキュリティ対策実施状況などを定期的にチェクする