誓約書(情報セキュリティ)とは?
誓約書(情報セキュリティ)とは、従業員や役員、アルバイト、派遣社員、業務委託先などが、業務上取り扱う情報資産を適切に管理し、情報漏えい、不正アクセス、紛失、改ざんなどの情報セキュリティ事故を防止するために提出する書面です。企業では、顧客情報、個人情報、営業秘密、技術情報、システム情報など、多くの重要な情報資産を保有しています。これらの情報が漏えいした場合には、損害賠償請求、行政処分、信用失墜、取引停止など重大な影響を招く可能性があります。そのため、情報セキュリティ対策はシステムだけでなく、情報を取り扱う人の意識やルールを明確にすることが不可欠です。誓約書(情報セキュリティ)は、情報資産の適切な管理義務や社内ルールの遵守を本人が約束することで、企業の情報管理体制を強化する重要な役割を果たします。
誓約書(情報セキュリティ)が必要となるケース
情報セキュリティに関する誓約書は、さまざまな場面で活用されています。
- 正社員・契約社員・アルバイトの入社時 →会社の情報セキュリティルールを理解し、遵守することを誓約してもらいます。
- 業務委託契約やフリーランスとの契約時 →社外の人材が顧客情報やシステムへアクセスする場合に提出を求めます。
- テレワークや在宅勤務を開始する場合 →私物端末や自宅ネットワーク利用時のルールを明確にします。
- クラウドサービスや生成AIを利用する業務 →機密情報の入力やデータ保存に関するルールを定めます。
- 情報システム部門や開発部門への配属時 →特に高度な情報を取り扱う担当者へ厳格な管理義務を課します。
このように、情報資産へアクセスするすべての関係者に対して誓約書を取得しておくことが、情報漏えいリスクの低減につながります。
誓約書(情報セキュリティ)に盛り込むべき主な条項
一般的な情報セキュリティ誓約書には、次のような内容を定めます。
- 目的
- 情報資産の定義
- 法令及び社内規程の遵守
- 秘密保持義務
- ID・パスワード等の認証情報管理
- パソコン・スマートフォンなど端末の管理
- USBメモリ等の外部記録媒体の管理
- クラウドサービス及び生成AI利用の制限
- 電子メール及びチャット利用時の注意事項
- 情報漏えい等のインシデント報告義務
- 貸与物の返還及びデータ削除
- 損害賠償
- 誓約の有効期間
これらを明文化することで、企業と従業員双方が守るべきルールを明確にできます。
条項ごとの解説と実務ポイント
1.目的条項
目的条項では、情報資産を適切に保護し、情報漏えいなどを未然に防止することを明記します。単に秘密保持だけではなく、情報セキュリティ全体を対象としていることを明確にすることで、社内ルールとの整合性も取りやすくなります。
2.情報資産の定義
情報資産は紙の資料だけではありません。
実務では、
- 顧客情報
- 個人情報
- 営業資料
- 契約書
- 設計書
- ソースコード
- クラウド上のデータ
- チャット履歴
- 電子メール
なども対象になります。対象範囲を広く定義しておくことで、「これは対象外だった」というトラブルを防止できます。
3.秘密保持義務
情報セキュリティ誓約書の中心となる条項です。業務上知り得た情報を第三者へ開示しないことはもちろん、私的利用や無断コピー、SNSへの投稿なども禁止対象としておくことが重要です。また、退職後や契約終了後も秘密保持義務が継続することを明記しておくことが一般的です。
4.ID・パスワード管理
近年の情報漏えい事故では、認証情報の管理不足が原因となるケースが少なくありません。
そのため、
- 第三者へ教えない
- 使い回しを避ける
- 定期的に変更する
- 漏えい時は直ちに報告する
といったルールを誓約書へ記載しておくことが望まれます。
5.端末及び記録媒体の管理
会社貸与PCだけでなく、スマートフォンやUSBメモリの紛失事故も数多く発生しています。
そのため、
- 離席時の画面ロック
- 私物端末利用時の承認
- USBメモリ利用制限
- 盗難・紛失時の速やかな報告
などを定めることで、事故発生リスクを低減できます。
6.クラウドサービス・生成AI利用
近年では生成AIやクラウドストレージの利用が急速に広がっています。便利な反面、機密情報を無断で入力したり、会社が許可していないクラウドへ保存したりすると、重大な情報漏えいにつながる可能性があります。
そのため、
- 会社が許可したサービスのみ利用すること
- 機密情報を無断入力しないこと
- 保存先を限定すること
などを定めておくことが重要です。
7.インシデント報告義務
情報漏えいでは、初動対応が非常に重要です。
少しでも異常を感じた場合には、
- 誤送信
- ウイルス感染
- 端末紛失
- 不正アクセス
- 不審メール受信
などを速やかに会社へ報告する義務を定めておくことで、被害拡大を防止できます。
8.貸与物の返還・データ削除
退職時や契約終了時には、
- パソコン
- スマートフォン
- USBメモリ
- 入館証
- 紙資料
などを返還し、私物端末に保存されたデータも削除することを義務付けます。これにより、退職後の情報持ち出しリスクを軽減できます。
誓約書(情報セキュリティ)を作成する際の注意点
- 情報セキュリティポリシーとの内容を一致させる 誓約書だけが独立した内容にならないよう、社内規程と整合性を持たせることが重要です。
- 秘密保持契約との役割を整理する 情報セキュリティ誓約書は情報管理全般を対象とし、秘密保持契約は秘密情報の開示・利用を中心とするため、それぞれの役割を整理しましょう。
- テレワークやBYODにも対応する 私物端末利用や自宅での業務など、現在の働き方に対応した条項を盛り込むことが重要です。
- 生成AIやクラウドサービス利用について定める 新しいサービス利用による情報漏えいリスクを踏まえ、利用ルールを明文化しましょう。
- 定期的に内容を見直す 情報セキュリティを取り巻く環境は変化が早いため、新たな脅威や法改正に合わせて定期的な更新が必要です。
秘密保持契約との違い
情報セキュリティ誓約書と秘密保持契約は似ていますが、目的が異なります。情報セキュリティ誓約書は、情報管理全般に関するルールを本人が遵守することを約束する文書です。一方、秘密保持契約は秘密情報の開示、利用、返還など契約当事者間の権利義務を定める契約書です。実務では、従業員には情報セキュリティ誓約書と就業規則を組み合わせ、取引先や業務委託先とは秘密保持契約(NDA)を締結するケースが多く見られます。
情報セキュリティ対策を強化するための実務ポイント
誓約書を取得するだけでは十分ではありません。企業では、次のような取り組みを併せて実施することで、情報漏えいリスクをより効果的に低減できます。
- 定期的な情報セキュリティ教育を実施する
- アクセス権限を最小限に設定する
- 多要素認証を導入する
- ログ管理や監査を行う
- インシデント発生時の対応手順を整備する
- 情報セキュリティ誓約書を定期的に更新する
誓約書と社内教育、システム対策を組み合わせることで、組織全体の情報セキュリティレベルを大きく向上させることができます。
まとめ
誓約書(情報セキュリティ)は、企業が保有する情報資産を守るための基本となる文書です。顧客情報や個人情報、営業秘密、システム情報などを適切に管理するルールを明確にすることで、情報漏えい、不正アクセス、紛失などのリスクを低減できます。近年はテレワークやクラウドサービス、生成AIの普及により、情報管理の重要性はこれまで以上に高まっています。そのため、情報セキュリティ誓約書を整備するとともに、情報セキュリティポリシーや秘密保持契約との整合性を図り、継続的な教育や運用改善を行うことが、安全で信頼性の高い情報管理体制の構築につながります。