質問

2011年07月19日 16時09分
  • 社内メールの使用条件

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

皆様

いつもお世話になっております。超新米です。

本日も会社役員に訳も分からない事を言われて困っております。
で、その内容と言うのが…
「社内メールの自分のアカウントのパスワードを教えろ!!」
というものです。

そもそも弊社では社内規定で社内メールの外部での閲覧は禁止しており、
パスワードは私が厳重保管しているんですが、弊社役員がアンドロイド
携帯に受信できるという、無駄な知識をどこで仕入れたのか、
「パスワード教えろ!!」

「それはできません!!」

「アンドロイドならできるんだ!!」

『そのできるじゃねぇーよ!!』
というやり取りを永遠と繰り返しておりました。

見かねた上司が「条件付きなら教えていいよ」と提案してきましたが、
その【条件】は何かあったとしても会社が責任取らなくも良いような
内容を考えろ、誓約書を作れ。という鬼のムチャ振りでした。

たぶん
・ID、パスワードの管理は厳重に行ってください。万が一、紛失による
情報漏洩があった場合、弊社では責任を負いかねます。

的な事をつらつらと書けばいいと思いますが、これ以上何も浮かんで
きません。

皆様、文章が苦手な私に力をお貸しください。
こんな時、こんな事を書けばよい。弊社にこんなのがあるという方、
是非、よろしくお願い致します。

5件の回答があります

回答

貴殿は、まじめで偉いです。
私ならホイホイ教えて責任は当人に擦り付けちゃいますがw

で、本題ですが、御社には「就業規則」はございませんでしょうか?
この中に守秘義務や罰則の規定があるかと思いますので
その内容に準じて記載すればよいかと思います。

頑張ってください。

回答

社内メールの自分のアカウントのパスワードを教えろ
って 自分のアカウントのパスワードを本人がご存じないのでしょうか?
ではパソコンを立ち上げてメールを読むまでパスワードを入れることがない?
という環境が”あぶない”っていう気がしますがどうなのでしょう。

ウチの場合、社外からのVPN接続にはそれ専用の申請書があります。申請書には「社外で使うパソコン等の管理は責任を持って管理します」旨の署名・捺印をするようになっていますし、その申請は”経営管理本部役員”の承認が必要にしています(といってもメクラ印ですけどね)。さらに期限は1年なので継続には再申請が必要です(そのたびにパスワードが変わります)。接続に使用する機器(複数も可)も記入するようになっています。 それらの事柄は社内規程で決められています(ってそのネットワーク利用規程を作ったのは私です)。
ウチのVPN接続は接続のたびにパスワードが求められます(そのパスワードは社内のメールを開くものとは異なっています パスワードの保存はできません)。

ちなみにパソコン起動のパスワード、メール(とネットワーク接続)のパスワード、社外からのVPN接続のパスワードは”経営管理本部役員”のみにアクセス権があるフォルダに保管され情シス員も見ることができません(というのが建前の仕組み)。なのでパスワードを忘れると本人であっても”経営管理本部役員”にお伺いを立てないと教えてもらえません。 (時々、本人の上司から「本人が休んだのでPCが起動できないので教えて」という要請が来ますが情シス員は冷たく「経営管理本部役員に聞いてください」と答えます。)

2011年07月19日 16時58分

回答

お疲れ様です。

会社の役員や上層部の対応は難しいですね。

結構昔の話ですが、某有名なモバイルキャリアの社長が、出先でExchangeが見えないと怒りだし、そこの情報システム部に今すぐ見られるようにしろという命令が出たらしく、当時まだExchange WebAppみたいな公開サービスが提供されていない時代に、情シスでセキュリティ丸無視でExchageのサーバーをDMZに配置したという話を聞いたことがあります。

本件は、セキュリティという観点から考えると、正直誓約書を書かせたところで、そのメールを外部利用することでなんらかの問題が発生してもそれが原因だったとどうやって突き止めるかが難しいでしょうね。

内容としては、

・外部でメールの送受信を行う事により発生した情報自体の漏洩及びその情報を保持している端末の紛失等は罰則の対象となる。
・メール情報を保持している端末を機種変更等により変更する場合は、情シスの許可が必要
・外部からの送受信により過度にサーバーに負荷をかけたり、業務外のメールとのやりとりを行っていることが認められた場合は、利用を停止する。
・メールの送受信によるメール送受信機器の故障及び不具合等は当社は一切責任を負わない。

とかは最低でも必要かと・・・。

ぱっと思いつくところはそんなところです。

いずれにしても、利用するのは自由だけどそれによる損害は自分で責任を持ちましょうというところを書くとよいと思いますよ。

2011年07月20日 00時18分

回答

お疲れ様です。

質問の答えになっていないかもしれませんが・・・

社内規定ということは、取締役会等の承認を得ている、と取りましたが、
一取締役の我儘(失礼)で社内規定を破る、というのは別の問題がある
ように思います。
(わからなくはないですが。)

まずは、社内規定の改定、一部緩和、但し書きの追記等、取締役会等に
諮った上で対応すべきと思います。

それが嫌なら、社内規定に従ってください、ということではだめでしょうか。

万が一の時、「誰の責任」云々よりも、会社に与えるダメージの回避を
最優先すべきと思います。
会社のダメージ回避より、自分の利便性を追求する取締役はいないと思いますし。

そもそも、外部でメールを見せないのは何のため、という目的の部分が
あやふやでは、セキュリティは語れません。
「条件付きなら教えていいよ」の意図もよくわかりません。

社内規定自体が形骸化しているのならば、早急に社内規定の改定が必要ですし、
一定の根拠に基づいた社内規定ならば、それは守るべき規定でしょう。

いずれにせよ、超新米さんが厳重保管のパスワードの管理者なのですから、
安易にパスワードを(取締役だろうと社長だろうと)教えてはいけません。

どんな文言をつけようと、万一の時には、パスワードの管理者が直接
漏らした、という事実は必ず追求されます。
誓約書の効力も不明瞭ですし。

超新米さんご自身のために、まず社内規定を何とかしてからの対応を
お勧めします。

少々辛辣な表現で申し訳ありません。
似たようなことが以前あったものですから。。。

ご参考まで。

2011年07月21日 01時24分

回答

そもそも弊社では社内規定で社内メールの外部での閲覧は禁止しており
ならばパスワード云々の話じゃなくて「あなたは規程を破るんですね」ってことでしょう。断固拒否すればいいだけのことです。

その役員さんは「出来ることとやっていいこととは違う」ということを知らないのでしょうね。

2011年07月22日 15時28分

あなたもコメントしましょう!