JAPHICマーク取得企業が特に注意すべき脅威の一つに、内部不正が挙げられます。
いくら上層部やセキュリティ担当者が外部からの攻撃への対策を取っていても、従業員による不正で被害を受けてしまうと意味がありません。
今回は、JAPHICマーク取得企業の内部不正対策の一つ、秘密保持誓約書を作成する際のポイントを解説します。
秘密保持誓約書に含める内容
秘密保持誓約書は、企業が従業員に取得させる誓約書であり、業務上の秘密を漏らさないことを目的としています。
そのため、個人情報保護体制を強化しなければいけないJAPHICマーク取得企業にとっては必要不可欠です。
また秘密保持誓約書に含める内容については、主に以下のことが挙げられます。
・秘密保持の範囲
・当事者の範囲
・目的外使用の禁止
・複製の取り扱い
・契約の有効期間
・秘密情報の返還、廃棄
・違反時の措置、損害賠償
・作成年月日、記名・押印
特に注意したいのが、秘密保持の範囲や違反時の措置についてです。
範囲が明確でなければ、違反時の対処でトラブルが起こりやすいです。
また違反時の措置や損害賠償について明確にしておくことは、内部不正の大きな抑止力になります。
テンプレートの使用は避ける
ネット上には、秘密保持誓約書のテンプレートも数多くありますが、こちらは基本的には使用してはいけません。
なぜなら、法的効力が弱くなる可能性があるからです。
過去の事例では、安易にテンプレートをそのまま使用し、内容を具体的につくり込まなかったことから、企業側が内部不正に関する裁判で敗訴しているケースもあります。
そのため、JAPHICマーク取得企業はその企業に合った内容の書面にしなければいけません。
就業規則に秘密保持義務を盛り込むことも大切
JAPHICマーク取得企業は、秘密保持誓約書を作成し従業員の記名・押印を得るだけでなく、就業規則に秘密保持義務を盛り込むことも大切です。
こうすることで、より従業員にルールを周知し、遵守しなければいけないことを認識させられるからです。
また就業規則に記載することにより、懲戒処分の際、懲戒事由に該当するかどうかの議論を回避できるというメリットもあります。
まとめ
JAPHICマーク取得企業の従業員は、業務で個人情報を取り扱ったり、デバイスにアクセスしたりする機会が多いです。
そのため、外部からの攻撃に比べ、JAPHICマーク取得企業はどうしても内部不正に弱くなる傾向にあります。
また秘密保持誓約書の作成により、ある程度内部不正のリスクは下がりますが、それとあわせてデータや紙媒体の情報セキュリティ対策についても徹底しなければいけません。
