個人情報の漏洩事故の調査データを見ると、漏洩事故の多くは、従業員や派遣社員等の関係者の不注意により発生しています。従業員が顧客情報を持ち出してライバル企業に転職したり、顧客情報を不正に取得して名簿業者に売却したりするといった「故意」による漏洩の場合、1事故当たりの漏洩情報の件数が、不注意による漏洩の場合よりも格段に多くなる傾向にあります。

　そこでこの記事では、従業員や派遣社員を監督するポイントについて見ていきます。

１　「従業者」の監督

　個人情報の保護や情報セキュリティについて考えるときに、第一に注意すべきは「従業者」という概念です。「従業員」や「社員」ではなく、「従業者」という概念を用いるのは、情報セキュリティの見地から、会社で働いている者の全てを監督の対象とするためです。

　個人情報保護法ガイドライン（「個人情報の保護に関する法律についてのガイドライン（通則編）」）は、「従業者」を次のように説明しています。

「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員（正社員、契約社員、嘱託社員、パート社員、アルバイト社員等）のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる

　一般的に、「従業員」「社員」という言葉は雇用契約を締結している「労働者」の意味で用いられていますが、情報漏洩を防ぐためには、「労働者」だけでなく、社内で働いている者全てにルールを守らせる必要があります。このため、役員（取締役、執行役、理事、監査役、監事等）や、派遣社員も含めた概念としての「従業者」が用いられます。

２　「人的安全管理措置」を講じる

　「従業者」に対し、情報漏洩を防ぐためのルールを周知し、ルール順守を誓約させ、必要な教育を行うことを「人的安全管理措置」や「人的情報セキュリティ」といい、これを講じることが企業には求められます。詳細については、「4つの安全管理措置の概要と押さえておくべきポイント」で紹介しているので、参考にしてください。

３　社内規程で秘密保持に関する記載を設ける

　役員なら役員規程、従業員なら就業規則や個人情報保護規程といった社内規程に、個人情報等の秘密保持（個人情報の不正利用禁止や持ち出し禁止等）についての記載を設けます。

　ほとんどの企業は、就業規則の服務規律に個人情報等の秘密保持についての記載があるかと思いますが、役員規程に記載のないことがあるので注意が必要です。なお、個人情報保護規程が整備されていれば、個人情報保護規程の適用対象者を「従業者」とすることで、役員にも適用できます。

　社内規程は社内ルールであり、個別の合意ではありませんから、「従業者」に周知して明確に意識させることが必要です（これが「教育」の一環にもなります）。

　なお、就業規則は労働基準法第106条により周知が義務であり、周知しない就業規則は無効と解されています。従業員（労働者）については、服務規律に違反した場合には懲戒処分ができるとされています。

　ただし、懲戒処分は制裁としての「罰」であるため、刑事法における罪刑法定主義と同様の考え方で、いかなる場合にいかなる罰（処分）がなされるかについて、事前に就業規則で定めておくことが必要であると考えられています。従って、就業規則には、どのような行為がどのような懲戒処分（戒告・けん責、減給、出勤停止、降格、諭旨解雇（または諭旨退職）、懲戒解雇等）に該当するかを明確に記載しておくべきです。

（社内規程の確認ポイント）

• 社内規程に、個人情報等の秘密保持を求める服務規律の規定があるか。
• 役員に対しても個人情報等の秘密保持を求める規定があるか（役員規程、個人情報保護規程等）。
• 社内規程は周知しているか。
• 情報漏洩行為が懲戒事由に該当することが就業規則に規定されているか。

４　秘密保持誓約書の締結

　社内規程は「包括的合意」といえますが、それだけでなく、個別の合意もして、情報セキュリティの意識を高めておきたいところです。

　個別の合意は、「秘密保持契約書」といった契約書（会社側と従業者が共に署名なつ印するもの）でも、「秘密保持誓約書」といった誓約書（従業者の署名なつ印のみ）でも、その効果に大きな違いはありません。一般的には、秘密保持誓約書（以下「誓約書」）を作成することが多いでしょう。

　このような誓約書は、入社時に取り付けることが多いでしょうが、社内の情報セキュリティを重視する意識を高めるためには、情報を取り扱う担当者になったときや、役職者に就任したとき、退職時（退職後に顧客情報を返却し、悪用しないという誓約書）など、要所で得ておくことが望ましいといえます。

　また、「秘密情報を守ります」というように、秘密保持の対象を抽象的にせず、個人情報、マイナンバー、顧客情報、営業秘密などの重要情報を区別して明確にしておくべきですし、退職後も有効であるという条項を入れておくとよいでしょう。

　なお、誓約書は、例えば退職時にいきなり要求すると反発する従業者が出てくることも考えられます。就業規則等の条項に、一定の場合に誓約書を求めることがある旨を明記しておき、社内ルールとして要所で誓約書を取り付ける慣行を確立しておけば、従業者に対して誓約書の提出を求めやすくなります。

５　派遣社員を使用している場合の注意点

　派遣社員を使用している企業（派遣社員の派遣先）は、注意が必要です。

　派遣先にとっては派遣社員も「従業者」ですから、派遣先における個人情報保護のための社内規程を派遣社員に順守させることは問題ありません。ただし、派遣先が、違反行為に対して懲戒処分をしたり、誓約書を提出しないからといって不利益扱いをしたりすると、それが違法と判断される可能性が高くなります。

　派遣社員と雇用契約を結んでいるのは派遣元であって、派遣先ではないので、懲戒等の処分ができるのは派遣元だからです。

　そのため、派遣社員を使用している場合、派遣先は、派遣元と秘密保持契約（NDA）を締結し、その中に、派遣元に誓約書を提出した者だけが、派遣社員としての派遣が許されるといった条項を入れておく必要があります。

６　教育・研修の記録

　個人情報保護や情報セキュリティに関する研修を実施した場合は、実施簿や研修のテキスト、受講者のアンケートなどを保存しておくとよいでしょう。

　これから取引しようとする相手に対し、就業規則に秘密保持の規定があるか、従業者から誓約書を取り付けているかといった事項だけでなく、十分な社内教育が実施されていることを確認できる資料の提出を求める企業もあるからです。

　次回は、従業員の教育・訓練や「モニタリング」などについて紹介します。

以上

※上記内容は、本文中に特別な断りがない限り、2019年5月17日時点のものであり、将来変更される可能性があります。

※上記内容は、株式会社日本情報マートまたは執筆者が作成したものであり、りそな銀行の見解を示しているものではございません。上記内容に関するお問い合わせなどは、お手数ですが下記の電子メールアドレスあてにご連絡をお願いいたします。

【電子メールでのお問い合わせ先】 inquiry01@jim.jp

（株式会社日本情報マートが、皆様からのお問い合わせを承ります。なお、株式会社日本情報マートの会社概要は、ウェブサイト http://www.jim.jp/company/をご覧ください）

ご回答は平日午前10：00～18：00とさせていただいておりますので、ご了承ください。