ISMSルールの中での郵送について(不採用者の履歴書など)
当社のISMSルールの中での郵送についてご相談させて下さい。
現在当社のルールにて、「普通郵便」を禁止としており、必ず追跡可能な送付方法を取るようルール付けています。
そこでレターパックやメール便といった方法を主に使用しているのですが、メール便については信書の利用が不可であるため、レターパックを利用することが多くなっています。
ただレターパックだと、コストが高くなってしまうことから、現在見直しを検討しています。
そこで信書が送付可能な「普通郵便」を利用可能にするべきかどうかで悩んでおります。
(具体的には不採用者の履歴書返送等です。)
もちろん送付物の内容によってはレターパックとの使い分けが必要になってくるとは思っているのですが・・・。
ご質問ありがとうございます。コスト削減とセキュリティ維持のバランス、非常に重要な視点です。結論から申し上げますと、ISMSにおいて「普通郵便が絶対に禁止」という決まりはありません。
リスクアセスメント(リスクの評価)に基づき、組織として許容できる範囲であれば、普通郵便の利用を再開することは可能です。判断のポイントを3つの視点で整理しました。
1. リスクアセスメントに基づくルールの最適化
ISMSの核心は「すべての資産に一律の対策をすること」ではなく、「リスクの大きさに応じた適切な対策を選択すること」にあります。
- 資産の重要度の再評価:
不採用者の履歴書など、万が一紛失した際の影響度(機密性・完全性)を改めて評価します。 - 「普通郵便」のリスク:
追跡不能・紛失時の特定が困難という「脆弱性」に対し、その発生頻度と被害の大きさを「リスクグループ分析対策表」等を用いて数値化します。 - 費用対効果の検討:
高コストなレターパックを全件に強制することが、事業の継続性(可用性)やリソース配分の観点から「過剰な対策」になっていないかを検討します。
2. 「履歴書」返送に関する法的・実務的視点
履歴書の取扱いについては、ISMSだけでなく個人情報保護法や民法上の責任も考慮する必要があります。
- 返却は「義務」ではない:
個人情報保護法上、利用目的を終えた情報は適切に「消去」することが求められますが、必ずしも「返却」が義務付けられているわけではありません。 - 過失責任の回避(民法709条):
万が一、郵送事故で情報が漏洩し本人に損害を与えた場合、会社は「過失」を問われる可能性があります。普通郵便を選択する場合は、このリスクを組織として「受容」するか、あるいは「代替策」を講じる必要があります。 - 代替策の例:
「返却せず、社内で確実にシュレッダー廃棄・溶解処理する」というルールに変更する企業も多いです。これにより郵送コストと紛失リスクの両方をゼロにできます。
3. 実務的なアドバイス:使い分けの基準作り
「何でも普通郵便」とするのではなく、以下のように「情報の重要度」による使い分けを明確に規定することをお勧めします。
- 追跡必須:
顧客の機密情報、原本の再発行が不可能な重要書類、高機密な個人情報。 - 普通郵便可:
一般的なパンフレット、公開情報、本人同意を得た上での定型的な返送書類。
ポイント:同意の取得
履歴書の返送に普通郵便を利用したい場合は、あらかじめ応募要項などに「不採用時の履歴書は普通郵便で返送する(または社内で廃棄する)」旨を記載し、同意を得ておくことでトラブルを未然に防ぐことができます。
4. 弊社サンプル文書集の活用
弊社の「ISMSサンプル文書集」では、こうしたルールの見直しを論理的に裏付けるためのツールを収録しています。
- リスクマネジメント管理規程:
「情報の重要度」を機密性・完全性・可用性の3軸で評価し、対策を決定する手順が定義されています。 - リスクグループ分析対策表:
「郵送」という活動における脅威(紛失、誤送達)と脆弱性を分析し、現状の対策が妥当かを判定するのに役立ちます。
「無理をして高いコストをかけ続ける」ことはISMSの継続的な改善を妨げる要因にもなります。実態に即した「身の丈に合ったルール」への再構築をぜひ検討してみてください。
