1. 情報セキュリティブログ ホーム
  2. 月イチIT総括
  3. 社員ブログと企業のガイドラインについて

社員ブログと企業のガイドラインについて

個人の日記から企業のPRのツールとしてまで、今やすっかり認知された感のある「ブログ」。一方で、個人でブログを管理している、いわゆる「個人ブロガー」が、所属する企業の機密事項に該当する情報を自らのブログに書いてしまうという問題は、ブログ草創期からことあるごとに取り上げられてきた。

今回は、企業はそうしたリスクに対していかに対処したらよいか、考えてみたい。


ブロガーの4割に機密情報を書いた経験!?

まずは、興味深いニュースが報じられたので引用したい。

・ブロガーの4割に解雇の危険?(ITmedia)

上記記事によれば、英国の人材サービス企業が行った調査結果として、英国の会社員でブログを書いていると回答した人のうちの39%が、「仕事、勤務先、同僚に関して機密事項かもしれない、あるいは損害を与える可能性のある情報をブログに書いたことがある」と回答したということだ。

4割という数字をどう見るか。「身分を明かし、自分が何者か明らかにした上で」書いたかどうかはこの記事を見る限り分からないが、ブログを運営している会社員の4割という数字は、相当のものではないだろうか。

社員がブログを書くことには会社側、社員側双方にとってリスクがある。

企業にとっての機密情報や個人情報の漏えいの危険性、また、それによって企業イメージを損なうことになれば、その社員は解雇される可能性もあるし、損害賠償事件に発展するかも知れない。また、ブログを通じて内部告発が行われる可能性もあるだろう。

また、最近ではブログやSNS上でアルバイトスタッフなどが“無配慮な”発言を書き込み、それによって企業が謝罪に追い込まれるケースが起きているのは記憶に新しいところだ。

一方で、ブログには企業のPRや社員の創造的な表現の場といったメリットもある。

では、企業はいかにしてリスクに対応していったら良いだろうか。上記記事では企業側の対応策として、以下のようなポイントを挙げている。

・適切な雇用契約や社員向けガイドラインの策定
・内部告発の手続き整備、社員への告知
・インターネットポリシーの見直し
・機密情報に関わる社員に対する、もう一段厳格な機密保持条項の適用
・企業ブログを開設して、社員ブロガーのエネルギーを活用


EFFのガイドライン

米国の電子フロンティア財団(EFF)は、2005年に「職場におけるブログ執筆ガイドライン」を発表した。

EFF、ブログでクビにならないためのガイドラインを発表(CNET Japan)

これによると、ポイントは以下のように要約できる。

・匿名でブログを執筆することもトラブル回避の一法
→ブログの存在を隠す、一部の信頼できる人にだけアクセスを許可する、HNに本名を使わない、身元の解明につながるような情報は明かさない、など。

・職場のリソースを使ってブログを書かない
→インターネット回線など会社のリソースを使ってブログを執筆すれば(それが業務として認められていない限り)会社から処罰される可能性がある。

・クローキングデバイスの活用
→クローキング(人がアクセスしてきた時と検索エンジンのロボットがアクセスしてきた時に別々のページを見せる技術)を活用して、検索エンジンに自分のブログが表示されないようにする。

・内部告発はブログで行わない
→内部告発は、ブログに書き込む前にしかるべき当局に相談すべきだ。


関係部署を交えてルール作りを

一口に「社員ブログ」といっても、執筆者が所属組織との関係を明らかにした上で執筆する場合と、匿名で書く場合とでは、その対応策も変わってくるようだ。

図にして整理するとこんな感じになるだろう。

070606_1.jpg

匿名で書くブログであっても(図(2)の場合)、何を書いてもいいわけではない。公序良俗に反する内容は書いてはならないし、他人の権利を侵害するような情報も書くのは慎むべきだ。他人の個人情報や、他人を誹謗、中傷するような内容は書くべきではない。また、業務上、知り得た秘密はもちろん、匿名でもNGだろう。

では、社員であることを明示した上で書くブログの場合はどうだろう(図(1)の場合)。会社側としては、社員がブログを執筆する際のガイドラインを示し、それを社員に遵守させるということを全社的に浸透させることが現実的ではないか。

その場合のポイントは、上述したような「個人として書いてはならないこと」を踏まえた上で、以下の3点に絞られるようだ。

・当該ブログは会社の正式な見解ではなく、個人の意見であることを明示する
・企業の機密、業務上知り得た秘密は漏らさない
・閲覧者であるところの「関係者」を意識する(競合他社を含め)

これに、内部告発についての社内ルールを整備、社員に周知させることが企業としての現実的な対応になるのではないか。

最後に、少し古い記事で恐縮だが、2005年にマイクロソフトが策定した社員へのブログ・ガイドラインを引用したい(→日経BPの記事から引用)。

<マイクロソフトが作った社員への「ブログ・ガイドライン」>
(1)雇用の契約内容に守秘義務があることを忘れない。
(2)ニュースを発さない。守秘情報は公開しない。
(3)読者からの情報などは、著作権・特許などの絡みもあるので取り扱いに注意。
(4)前にいた会社に敬意を払い、その情報を書く際には気をつける。
(5)自分自身が誰で、マイクロソフトで働いていることを公開する。
(6)企業責任の問題もあるので、サポートやアドバイスをする時には注意が必要。
(7)個人の意見として公開。
(8)「Post」のボタンを押す前に、どのような反響があるかを考える。

企業としてはまず、思わぬトラブルに巻き込まれる前に、法務部門、情報システム部門などの関係部署を交えて、起こりうるリスクと対策について話し合いをすることが大事だろう。

<参考記事>
Webマーケティングの近未来 第25回?ブログビジネスサミット in シアトル(その2)(日経BPネット)
元Google社員が語る、「Blogで解雇」で学んだ教訓(ITmedia)

関連キーワード:

ガイドライン

社員ブログ

  • 家族が仕掛けたキーロガーが奏功!?
  • カテゴリートップへ
  • ソーシャルブックマークが悪意のWebサイトの誘導口に?