対象:人事労務・組織
回答数: 1件
回答数: 1件
回答数: 1件
お世話になっております。企業内のコンプライアンスを担当していたものです。
質問です。人事労務担当者の使用している情報システムがWindows XP搭載のパソコン(以下XP搭載機)を使うことは「安全配慮義務に違反している」といえますか?
メディアの情報では、事業者の中には秘匿すべき情報をセキュリティ対策の乏しいXP搭載機で管理させているそうです。なかには従業員の個人情報もXP搭載機で管理している事業者もあるでしょう。
人事労務担当者は社員や社外の求職者と頻繁にセンシティブな情報を交換しています。これまでと同様に人事労務担当者がXP搭載機で社外の方とeメールを交換するなど危険行為を行っている事業者もあるでしょう。
例えば、「社内の特別な人事労務関連のアプリケーションを使用するときに限り、セキュリティを考慮した環境でXP搭載機を使っている」というのであればまだマシです。
仮に従業員の情報が漏えいしたとして。ネットの小売店とは違いクレジットカード番号などは漏えいしないので、ハラスメントの被害と同様に精神的な被害となります(注1)。だからこそ安全配慮義務の問題になる労働災害なのではという問題意識です。
情報の漏えいは事態が急に進みます。ハラスメントの問題とは違い前兆がありません(XP搭載機の使用が前兆といえば前兆ですが…)。
一般論として。XP搭載機から取引先の情報が漏えいしたら、情報セキュリティがずさんだということで取引停止やそれに準ずる扱いを受けます。ずさんにも程がありますね。
情報セキュリティに欠陥がある情報システム(本質問ではXP搭載機)で従業員の情報を扱うことは安全配慮義務に違反していることになるのですか?
どうぞご教示のほどよろしくお願いいたします。
過去には、生命保険会社の採用担当者が「持ち帰り残業」をしたために、ファイル共有ソフトWinnyによって、数千人分の個人情報が漏えいしたことがありました。このケースは情報システムのセキュリティというよりは、ガバナンスに問題があります。
(注1) あえて無理やり実害を考えると、「不祥事を報告した経過報告書(事実上の始末書)」がWebに公開されて転職に不利になる。といった類のことでしょうか。
Moriya, Tomoさん ( 東京都 / 男性 / 35歳 )
回答:1件
安全配慮義務違反であると断定できません。
Moriya, Tomoさんこんにちは。質問は、セキュリティに問題があるパソコン(今回の場合は、Windows XP搭載のパソコン)で、従業員の個人情報を管理していた場合、労働契約法の安全配慮義務違反に当てはまるのか?ということですね。
結論から言いますと、労働契約法の安全配慮義務違反であると直接言うことは、非常に難しいです。
安全配慮義務については、労働契約法第5条に「使用者は、労働契約に伴い、労働者がその生命、身体等の安全を確保しつつ労働することができるよう、必要な配慮をするものとする。」と規定されています。
(参考)労働契約法:http://law.e-gov.go.jp/htmldata/H19/H19HO128.html
漏洩された本人は、Moriya, Tomoさんがおっしゃるように、個人情報漏洩により精神的被害を受けることはあると思います。しかし、安全配慮義務違反(健康配慮義務違反)の場合、ポイントとなるのが「従事していた業務との因果関係」です。ずさんな管理体制による個人情報の漏えいと、「従事していた業務」の関連付けや、それによる精神疾患を証明することは、難しいと考えます。過去の判例では、過重労働やハラスメントによる精神疾患などは、認められるケースが増えております。
(参考)
みくまの農協事件http://www.uoeh-s.com/osh-support/risk/pdf/hanrei/hanrei83.pdf
川崎市水道局事件http://sumitani-sr.com/p-h-j7.html
今回の場合は、「安全配慮義務違反」よりは、個人情報保護法の規定を基に、損害賠償責任を負うと考えられます。
以下、個人情報保護について補足いたします。
個人情報保護法に基づき、厚生労働省より雇用関連情報の安全管理措置について、以下のような指針が出されています。「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」
個人情報取扱事業者とは、「顧客や従業員の個人情報を5,000人分以上データベース等で管理している事業者(詳しい定義は、以下参照ください)」です。
(※厚生労働省からは、5,000人未満の小規模事業者についても、雇用情報などは適切に管理するように安全管理措置の指針が出されています。)
そのため、従業員の個人情報を、セキュリティに問題があるとわかっているパソコンで管理することは、国の指針からも外れており、企業は損害賠償責任を負うことになります。
(参考)個人情報の保護に関する法律についてのガイドライン
http://privacy-policy.jp/guideline/kojin/kojin2_1_3.pdf
労働政策研究・研修機構ホームページ
http://www.jil.go.jp/rodoqa/15_houmu/15-Q06.html
最後に、Windows XP搭載のパソコンについて補足です。今回は、Windows XP搭載のパソコンをオープン環境の中で継続利用した場合(インターネット接続できる環境)を前提に回答しています。企業によっては、Windows XPサポート終了後も、クローズド環境での業務端末として一定期間活用することも考えられます。
(参考)日本ネットワークセキュリティ協会による「Windows XPの企業での継続利用」をテーマにしたワークショップ記事より
http://www.itmedia.co.jp/enterprise/articles/1308/28/news034.html
以上になります。Moriya, Tomoさんの今後ますますのご発展とご健勝を心よりお祈りいたします。
補足
~~~~~~~~~~~~~~~~~~~
「ホットなコンサル」開催中。
詳しくは、以下のURLをクリック。
http://hotnet.sacnet.jp/htcns/
次回以降の、質問時にご利用を検討下さい。
~~~~~~~~~~~~~~~~~~~
評価・お礼
Moriya, Tomoさん
2014/05/04 23:40ご回答ありがとうございます。
質問文には書き忘れましたが、個人情報取扱事業者ではさすがにXP搭載機でセンシティブな情報を取り扱ってはいないだろうという隠れた前提を置いていました。だからこその安全配慮義務違反という問題設定でした。
回答専門家
- 小松 和弘
- (東京都 / 経営コンサルタント)
- ホットネット株式会社 代表取締役
中小企業のITで困ったを解決します!
ITまわりで、中小企業の困ったは様々です。どこに連絡すれば良いのか判らず、色々な窓口に電話をかけても解決できない事が多くあります。そんな「困った」の解決窓口の一本化と、中小企業の健全なIT化を推進しています。
(現在のポイント:-pt)
このQ&Aに類似したQ&A
表示中のコンテンツに関連する専門家サービスランキング