皆さんの会社では、「情報の取り扱い規定」についてきちんと定められておりますでしょうか？最近は、受注の条件や取引条件として「情報の取り扱い規定」や「個人情報の取り扱い規定」、「セキュリティ対策の実施状況」などを提出するように求める企業や、取引先の情報システム部門が、実際にサーバやパソコンの監査に来た、ということもあるようで、時々弊社にご相談を頂くことがあります。

特に、取り扱いに慎重を要するデータを扱うことの多い医療や薬品(卸)関係、知的財産を扱う製造業で、このようなチェックをされることが多いようです。昨今のセキュリティ事件の多さや、国や自治体もセキュリティ対策の重要性について意識が変わって来ており、様々な認定制度なども検討されているようです。今後は、官公庁だけでなく、一般企業でも取引条件に「セキュリティ」が要件として入ってくるケースが増えて行くと思われます。

取引先などから、突然、「セキュリティ規定」を提出するように求められ、慌てて形だけの規定や、どこかのひな形を持って来て、守れない規定を作っても、何の意味もありませんので、あらかじめ準備しておくことをオススメします。

その際、ポイントとなりそうな点について、いくつか書いてみます。

①就業規則にセキュリティ違反についての規定（罰則など）を作成

②全社員（パートやアルバイトも含む）と秘密保持誓約書を取り交わす
（退職後の情報の取り扱いについても規定）

③情報の取り扱い規定の作成
・個人所有PCやデバイスに関する規定（使用禁止など）
・会社所有PCやデバイスに関する規定（持ち出しや管理責任の所在など）
・USBメモリ、ポータブルHDDなど取り外し可能な媒体の扱いについての規定
・社内情報の取り扱い原則についての規定
・個人情報の取り扱い原則についての規定
・セキュリティ事件事故発生時の対応についての規定

④定期的なセキュリティ勉強会の受講（外部講師など）

規定を作成する際は、「無理をしないこと」「複雑にしないこと」がポイントです。理想ばかり高い決まり事や複雑な決まり事は、守れないことが多いです。まずは、"原則"を作成しておき、例外が発生した場合は、上司の許可を得る、という方法でもある程度運用することが出来ます。一般的な内容で構いませんので、この機会に「情報の取り扱い規定」の作成について、ご検討頂ければと思います。

情報セキュリティ管理者：J