対象:ITコンサルティング
回答数: 4件
回答数: 5件
回答数: 6件
お世話になっております。BYODなる横文字も浸透してきました。そんないまどきの質問をさせていただきます。
一般的には社員の私物を調査する所持品検査には就業規則での定めが必要です。
社員が職場に持ち込んでいる私物のデジタル機器をウイルス検査したいと考えます。これは就業規則で定める必要のある所持品検査に該当しますか?また、就業規則の範囲外となる取締役のデジタル機器をウイルス検査することは可能ですか?なお、これら対象となるデジタル機器は業務に利用しているUSBメモリなどに限ります。
疑問として。社員が自分自身でウイルス検査の作業をする場合であっても、検査に使用するウイルス対策ソフトは会社の設備です。なので会社による所持品検査とは言えそうです。しかしながら、人間ではなく人工知能による所持品検査にも就業規則の定めが必要ですか?そもそも、社員私物のデジタル機器にウイルス感染が有ったか無かったかという判定結果はセンシティブな情報ですか?
さらに、会社によるウイルス検査が終わるまで、社員所有のデジタル機器のウイルスを所有者である社員が削除することを止めることはできますか?
どうぞご教示お願いいたします。ちなみに、この質問は6年前に実際にあった騒動をモデルにしています。
なお。同様の質問を 法人・ビジネス 人事労務 > 組織 にもしています。
Moriya, Tomoさん ( 東京都 / 男性 / 34歳 )
回答:1件
総合的なセキュリティー対策を立案しましょう
Moriya, Tomoさん、こんにちは。
社員が職場に持ち込んだ私物のデジタル機器(主に業務で使用するUSBメモリ等)に対するウイルス検査について、以下の点を確認したいということですね。
1.私物のデジタル機器(主に業務で使用するUSBメモリ等)に対するウイルス検査が所持品検査に該当するか
・このウイルス検査は、就業規則で定めが必要な所持品検査に該当するか?
・就業規則の適用外である取締役のデジタル機器も検査できるか?
2.社員自身による検査やAIを用いた検査と規定の必要性
・社員が会社の設備(ウイルス対策ソフト)を使用して自分で検査を行う場合も、会社による所持品検査と見なされるか?
・人工知能(AI)による検査にも就業規則での定めが必要か?
3.ウイルス感染判定結果の扱い
・私物デジタル機器のウイルス感染の有無という判定結果はセンシティブな情報(要配慮情報)に該当するか?
4.検査終了までの削除制限
・検査が完了するまで、社員が所有するデジタル機器のウイルスを社員自身が削除することを禁止できるか?
以下順番に回答いたします。
1.私物のデジタル機器(主に業務で使用するUSBメモリ等)に対するウイルス検査が所持品検査に該当するか
・このウイルス検査は、就業規則で定めが必要な所持品検査に該当するか?
労働契約法 第7条に、「使用者は、労働契約に基づいて労働者に指揮命令を行う権限を有するが、その権限の行使に当たっては合理性を欠いてはならない。」と規定されており、労働基準法 第89条に、就業規則には、服務規律や懲戒に関する事項を明示することが義務付けられています。所持品検査は、職場秩序や安全を維持するための手段と考えられ、服務規律の一環として扱われます。具体的には、以下のような目的がある場合に服務規律に該当すると解釈されます。
-職場への危険物や業務に無関係な物品の持ち込み防止
-情報漏洩の防止
-職場の安全確保やセキュリティ向上
そのため、所持品検査を合理的かつ透明性を持って実施するためには、服務規律として就業規則に明記する必要があります。所持品検査とは、一般的に物理的な持ち物に対する検査を指しますが、デジタル機器に対する検査も、その目的や範囲によっては所持品検査とみなされる可能性があります。特に私物のデジタル機器の内部データ(ウイルスの有無を含む)にアクセスする場合、プライバシーの侵害が問題になるため、就業規則に明確な規定を設けることが推奨されます。就業規則では、ウイルス検査の目的(情報セキュリティ確保など)、対象範囲(業務に利用されるUSBメモリ等)、手続き(社員による立会いなど)を具体的に記載するべきです。
・就業規則の適用外である取締役のデジタル機器も検査できるか?
ご認識の通り、取締役は通常、就業規則の適用対象外となります。ただし、情報セキュリティポリシーや役員規程などで対応することが可能です。業務に使用する機器に限定し、事前に同意を得た上で検査を実施することが適切です。
2.社員自身による検査やAIを用いた検査と規定の必要性
・社員が会社の設備(ウイルス対策ソフト)を使用して自分で検査を行う場合も、会社による所持品検査と見なされるか?
個人情報保護法 第20条(安全管理措置)で、社員自身による検査やAIの使用も「個人情報の管理」に該当する可能性があり、適切な措置を講じる必要があります。社員自身が会社の提供するウイルス対策ソフトを使用して検査を行う場合も、「会社による所持品検査」に類似した行為と見なされる可能性があります。そのため、この手順も就業規則やセキュリティポリシーで明記しておくと良いでしょう。
・人工知能(AI)による検査にも就業規則での定めが必要か?
検査がAIによって実施されるか人間によって実施されるかにかかわらず、社員の私物に対して検査を実施する場合には、プライバシー保護の観点から事前の同意や規定が必要です。AIを利用した検査についても就業規則やセキュリティポリシーで明確に記載し、透明性を確保することが求められます。
3.ウイルス感染判定結果の扱い
・私物デジタル機器のウイルス感染の有無という判定結果はセンシティブな情報(要配慮情報)に該当するか?
個人情報保護法 第2条(要配慮個人情報)では、要配慮個人情報とは、人種、信条、社会的身分、病歴等の特別な情報を指しますが、感染結果が業務遂行や評価に影響する場合には、慎重な取り扱いが求められます。このため、判定結果の取り扱いや保管方法も、セキュリティポリシーに明記しておくことをおすすめします。
4.検査終了までの削除制限
・検査が完了するまで、社員が所有するデジタル機器のウイルスを社員自身が削除することを禁止できるか?
労働契約法 第8条に、労働者には、使用者の指揮命令に従う義務がありますが、合理性を欠く制限は認められません。私物の削除禁止は、あくまで合理的な範囲で行う必要があります。法的には、社員の私物に対する強制的な制限は難しい場合があります。ただし、業務で使用されるデジタル機器に限る場合には、事前に合意を得た上で削除の制限を設けることが可能です。これも就業規則や同意書に、検査が完了するまでの削除禁止に関する事項を記載することが重要です。
以上をまとめ、今後の対策として整理すると、今後の必要なタスクとしては、
・就業規則の見直し・改定
-デジタル機器のウイルス検査に関する明確な規定を追加。
-対象範囲、手続き、目的、社員の権利と義務を明確にする。
・セキュリティポリシーの策定
-取締役を含むすべての関係者に適用される情報セキュリティ規則を整備。
-同意取得のプロセスを構築。
・教育と周知
-新たな規定やポリシーについて社員や取締役への説明会を実施。
-規定の適用範囲と手順を理解してもらう。
・検査手順の透明化
-ウイルス検査のプロセス、利用するソフトウェア、結果の取り扱いを明確化。
-社員や関係者が安心して検査を受けられる体制を構築。
などが考えられます。
セキュリティー対策は、ウイルス検査だけにとどまりません。秘密情報をどう管理し、情報漏洩があったとしても見つかりやすい環境を作り、社員のやる気と信頼関係を向上させる取り組みまで含まれます。経済産業省やIPAから以下のような資料が発行されていますので、参考にしていただき、セキュリティー対策を始めてみてください。
・秘密情報の保護ハンドブック~企業価値向上に向けて~
https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/1706blueppt.pdf
・秘密情報は大切な財産です~秘密情報の漏えい対策等について~
https://www.meti.go.jp/policy/anpo/seminer/shiryo/gijutyu_eigyou_2023.pdf
・組織における内部不正防止ガイドライン
https://www.ipa.go.jp/security/guide/hjuojm00000055l0-att/ps6vr7000000jvcb.pdf
回答専門家

- 小松 和弘
- (東京都 / 経営コンサルタント)
- ホットネット株式会社 代表取締役
中小企業のITで困ったを解決します!
ITまわりで、中小企業の困ったは様々です。どこに連絡すれば良いのか判らず、色々な窓口に電話をかけても解決できない事が多くあります。そんな「困った」の解決窓口の一本化と、中小企業の健全なIT化を推進しています。
(現在のポイント:-pt)
このQ&Aに類似したQ&A
表示中のコンテンツに関連する専門家サービスランキング