ビジネスが完全リモートであれハイブリッドであれ、機密データを保護する確固たるリモートワークポリシーが必要です。つまり、誰がリモートワークの対象となるかを定義し、コミュニケーションのルールを定め、地理的に分散したチーム特有の脅威を軽減するための安全策を講じるということです。

この記事では、成功するリモートワークポリシーのためのベストプラクティスについて解説します。

リモートワークポリシーとは?

リモートワークまたは在宅勤務(WFH)ポリシーとは、会社の物理的なオフィスの外で働くすべての人に対するルールを定義した公式文書です。これは、従業員、コンサルタント、請負業者、および組織の内部システムや専有データにアクセスできるすべての人に適用されます。

会社に在宅勤務ポリシーは必要ですか?

リモートワーク文化を受け入れることには、多くの大きな理由があります。最も注目すべき理由の一つは、採用機会の拡大です。優秀な従業員は柔軟性を期待しており、それを提供する企業は世界中の人材プールにアクセスできます。

リモートワークやハイブリッドワークは、生産性と責任感を大幅に向上させることもあります。スタッフに在宅勤務の自由を与えることで、効率を高め、従業員の定着率を上げることができます。多くの組織にとって、これは諸経費の削減にもつながります。オフィススペースを減らせば、家賃や光熱費を大幅に節約できるからです。

But remote work is not without risk. Businesses operating over international borders have to juggle multiple tax and labor laws. Additionally, there is a significant increase in exposure to information security risks and insider threats.

とはいえ、しっかりとしたリモートワークポリシーがあれば、人事や法的な義務を果たすのに役立ちます。また、会社が承認したリモートワーク用VPN、強力なパスワード2要素認証(2FA)を義務付けるポリシーがあれば、脆弱性を減らすことができます。

リモートワークポリシーに不可欠な構成要素

リモートワークポリシーは、企業と従業員の両方を保護するために、以下の主要な分野をカバーする必要があります。

  • 適用対象:リモートおよびハイブリッドの役割を定義する
  • 勤務時間:オンラインでの期待値を設定する
  • コミュニケーション:明確な応答時間を文書化する
  • 機器と経費:会社が提供するものを説明する
  • セキュリティ要件:VPNの使用と適切なデバイス管理を強制する
  • パフォーマンスの追跡:明確な成功指標を持つ
  • コンプライアンスの維持:国際労働法および税法をカバーする

1. 在宅勤務(WFH)の適用対象

現場への出勤が求められる役割(受付、配管工、医師など)もあり、リモートワークが不可能な場合もあります。その他の役割では、物理的な位置は重要ではありません。リモートワークポリシーでは、どの職務が対象となるか、条件はあるか、会社が許可するWFHの日数はどれくらいかを明記する必要があります。

例:対象となる従業員は、試用期間を通過し、オフィスにいないことで業務に支障がないフルタイムスタッフです。

ヒント:誰がリモートワークを適用できないかを明確にしてください。例えば、定期的にクライアントと対面で接触する人などです。

2. 勤務時間と可用性

リモートワークは、家庭とオフィスの境界線を曖昧にする可能性があります。最初に期待値を設定しましょう。固定時間を希望しますか、それとも柔軟性も条件の一部ですか?チームが複数のタイムゾーンにまたがる場合は、全員が対応可能であるべき重複時間を設定してください。

例:スタッフはCETの午前10時から午後3時までオンラインである必要があり、それ以外の時間は柔軟に勤務できます。

ヒント:グローバルチームの場合、24時間体制の監視よりも、日次または毎週の更新の方が有益な場合があります。

3. コミュニケーションプロトコル

リモートワークポリシーでは、従業員が同僚とのコミュニケーションに使用すべきソフトウェア(メール、Slack、Jiraなど)と、許可されていないソフトウェアを明示する必要があります。

ストレスを管理し、持続不可能な常時オンライン文化を避けるために、応答時間に対する明確な期待値を設定してください。

例:従業員は、勤務時間中、Slackのメッセージに30分以内に返信しなければなりません。

ヒント:緊急の問題用と定期的な更新用のチャンネルを定義してください。そうすれば、チームは最初にどこに注意を向けるべきかがわかります。

4. 機器、経費、ITサポート

リモートワークポリシーでは、会社が提供するものと、従業員が自分で用意する責任があるものをカバーする必要があります。ハードウェア、ソフトウェア、サポートを含めます。インターネット、電話代、ホームオフィス機器の経費精算(またはその欠如)についても対応してください。

例:会社はノートパソコンとモニターを提供します。従業員はインターネット費用を補うために月額15ドルを受け取ります。

ヒント:明確なBYOD(私用デバイスの業務利用)ポリシーを作成してください。明確なセキュリティおよびサポートポリシーがなければ、個人のデバイスはすぐに法的責任の原因となり得ます。

5. セキュリティとデータ保護

リモートワークは企業を新たなサイバーリスクにさらしますが、明確なポリシーがあればそれらを減らすことができます。以下を含めるべきです:

  1. 会社承認のハードウェアとソフトウェア:従業員は、セキュリティと互換性を確保するために、IT部門が推奨するデバイスとアプリを使用する必要があります。
  2. 2要素認証の義務化:すべての職場アカウントで、認証アプリなどを介した2FAを有効にする必要があります。
  3. ホームネットワークのセキュリティ:従業員はデフォルトのルーターパスワードを変更し、WPA2暗号化を有効にする必要があります。
  4. VPN使用の強制:すべてのリモート接続において、常時接続およびキルスイッチ機能が有効になったビジネスVPNを使用する必要があります。
  5. サーバーアクセスの制御:アクセスは、各役割が必要とするリソースに限定されるべきです。
  6. 暗号化された会議ツール:リモート会議では、エンドツーエンド暗号化を備えたプラットフォームを使用する必要があります。
  7. 安全な通信チャンネル:ビジネスメッセージングやメールは、SignalやProton Mailなどのエンドツーエンド暗号化されたサービス上で実行する必要があります。

リモートワークフォースの保護についてより詳しく(新しいウィンドウ)

ヒント:セキュリティを過小評価しないでください。たった一度の侵害が、リモートワークポリシーの他のすべてのアイテムの合計コストをはるかに上回る損害をもたらす可能性があります。

6. パフォーマンスの測定

オフィスに人がいない場合、成功を公正に測定することが重要です。

KPI、定期報告、プロジェクトのマイルストーンなど、会社がどのようにパフォーマンスを追跡するかを定義します。労働時間よりも結果が重要であることを明確にしてください。

例:リモート従業員は、合意されたプロジェクトの締め切りを守り、マネージャーに毎週更新情報を提供しなければなりません。

ヒント:過度な監視ツールは避けてください。それらは信頼と士気を損なう可能性があり、通常、生産性を向上させることはありません。

7. コンプライアンス、法的責任、および労働安全衛生

リモートだからといって免除されるわけではありません。リモートワークポリシーは、労働法、納税義務、労働安全衛生要件をカバーする必要があります。コンプライアンス違反の問題が発生した場合に、会社が法的責任の懸念をどのように扱うかを定義してください。

例:従業員は安全なワークスペースを確保し、インシデントがあれば24時間以内に人事部に報告しなければなりません。

ヒント:このセクションの下書きを作成する際は、人事、法務、ITを巻き込んでください。後で問題を引き起こす可能性のある義務を見落とすリスクを減らすことができます。

リモートワークポリシーの事例

企業は一般的に、3つの方法のいずれかでリモートワークに取り組みます。

オンサイト

コンプライアンスと厳格な管理が重要となる規制産業に最適です。

  • 午前9時から午後5時までの固定時間
  • 限定的なWFHの柔軟性
  • 厳重な機器監視

ハイブリッドまたはフレックス

対面でのコラボレーションを必要としつつ、従業員の健全なワークライフバランスもサポートしたい企業向けです。

  • 従業員は自宅とオフィスの間で時間を分割可能
  • 開始時間と終了時間が柔軟なコアタイム制
  • 強力なコミュニケーションと報告を重視

完全リモートまたは非同期

物理的な出席よりも生産性と成果を優先する、世界中に分散したチームに最適です。

  • チームは複数のタイムゾーンにまたがって勤務
  • 会社は時間ではなく成果で人を評価
  • 効果的な仕事に物理的な会議は不要

リモートワークポリシーのテンプレート

これらはリモートワークポリシーの最も重要な原則を網羅しています。これらのテンプレートをコピーして、ビジネスのニーズやリモートワークポリシーに合わせて調整してください。

テンプレート1:基本的なリモートワークポリシー

目的:リモートで働く従業員のための一般的なガイドラインを提供する。

適用対象:[Xヶ月]の試用期間を完了した従業員は、リモートワークを申し込むことができます。ラインマネージャーがリクエストを承認する必要があります。日常的な対面での顧客対応や物理的な存在が必要な役割は対象外です。

勤務時間:従業員は契約時間を維持し、[コアタイム]中は対応可能でなければなりません。事前に合意があれば、これらの時間外での柔軟性が認められます。

コミュニケーション:従業員は勤務時間中、[Slack/メール/電話]で連絡が取れる状態を維持し、予定されたすべての会議に出席することが求められます。緊急事項は[優先チャンネル]を通じて伝達する必要があります。

機器:会社は[ノートパソコン/モニター]を提供します。従業員は、安定したインターネット接続と、中断されることなく業務を遂行できる安全なワークスペースを用意する必要があります。

セキュリティ:従業員はProton VPNを使用し、常時接続とキルスイッチ機能を有効にして社内システムに接続しなければなりません。すべての職場アカウントで2要素認証が必須であり、デバイスでは画面ロックを有効にする必要があります。

見直し:[ビジネス名]はこのポリシーを6ヶ月ごとに見直し、フィードバックや変化するニーズに基づいてガイドラインを調整する場合があります。

テンプレート2:ハイブリッドワークポリシー

目的:生産性とセキュリティを確保しながら、柔軟な勤務形態をサポートする。

スケジュール:従業員はマネージャーの承認を条件として、[週X日]までリモートで働くことができます。従業員は指定されたコラボレーション日にはオフィスに出勤することが求められます。

ワークスペース:従業員は、信頼できるインターネット接続を備えた、気が散らない環境を維持しなければなりません。ホームオフィスは[ビジネス名]の労働安全衛生基準を満たしている必要があります。

オンサイト勤務:オフィスを訪れる際、従業員は定員超過を防ぐために[予約システム]を使用してデスクを予約する必要があります。

コミュニケーション:従業員は、ビデオ会議または対面で、必要なすべてのチーム会議に出席しなければなりません。チームの連携を保つために、日次または毎週のチェックインが期待されます。

経費:会社はリモートワークに関連するインターネットおよび電話の使用料として[月額$X]を払い戻します。追加の経費は事前に承認を得る必要があります。

セキュリティ:社内システムとデータを保護するために、従業員は以下を行わなければなりません:

  • 自動更新が有効になった会社承認のウイルス対策ソフトウェアを使用する。
  • 常時接続とキルスイッチ機能が有効になったProton VPN経由で接続する。
  • すべての社内システムで2要素認証を有効にする。
  • デフォルトのルーターパスワードを変更し、自宅ではWPA2またはより強力なWi-Fi暗号化を使用する。
  • 紛失または盗難にあったデバイスは直ちに報告する。

テンプレート3:セキュリティ優先のリモートワークポリシー

目的:リモートワークを可能にしつつ、機密性の高い会社データを保護する。

適用対象:人事、IT、および法務によって承認された役割のみが、このポリシーの下でリモートワークを行うことができます。

セキュリティ要件:社内システムとデータを保護するために、従業員は以下を行わなければなりません:

  • 会社から支給された暗号化済みデバイスでのみ作業する。
  • 業務に不要なアプリを仕事用デバイスに入れない。
  • デバイスから離れるときは常に強力なパスワードで画面をロックする。
  • 業務で積極的に必要とされない場合はBluetoothをオフにする。
  • 常時接続とキルスイッチ機能が有効になったProton VPN経由で接続する。
  • すべてのアカウントで2要素認証を有効にし、会社承認のパスワードマネージャー(Proton Passなど)を使用する。
  • すべてのアカウントで強力かつユニークなパスワード(最低16文字)を使用する。
  • すべてのデバイスとアプリを自動的に更新される状態に保ち、フルディスク暗号化を有効にする。
  • デフォルトのルーターパスワードを変更し、WPA2またはより強力な暗号化で自宅のWi-Fiを保護する。
  • 自分の役割に割り当てられた内部サーバーとリソースにのみアクセスする。
  • グループ通話やビデオ会議には、パスワード保護のある暗号化済みプラットフォームを使用する。
  • メッセージングにはSignal、メールにはProton Mailなど、承認された暗号化済みアプリを使用し、機密通信には有効期限を設定する。
  • 未承認のアプリを通じて機密情報を送信することは避ける。
  • ビデオ会議や画面共有中に機密資料が見えないようにする。
  • フィッシングやソーシャルエンジニアリングの試みに警戒し、不審なリンクや添付ファイルをクリックしない。
  • 紛失、盗難、または侵害されたデバイスは、直ちにIT部門に報告する。

コンプライアンス:従業員は[GDPR/CCPA/その他の関連規則]および会社のすべてのデータ取り扱いポリシーを遵守しなければなりません。

監査:IT部門は[X週間]ごとにリモートデバイスを監査します。コンプライアンス違反のデバイスは、問題が解決されるまで社内システムから停止される場合があります。

違反:このポリシーへの違反は、雇用の終了を含む懲戒処分の対象となる場合があります。

リモートワークのガイドライン

リモートワークポリシーの下書きを作成したら、次の課題はそれを実際に機能させることです。

組織全体に展開するには、慎重な計画、コミュニケーション、そして忍耐が必要です。

移行をスムーズにするために、以下を試してみてください:

  • 部門横断的な意見を得る:最初から人事、IT、法務、経営陣を巻き込みましょう。
  • 従業員のトレーニング:全員がリモートワークの期待値を理解していることを確認しましょう。
  • フィードバックを集める:何がうまくいっていて何がうまくいっていないか、従業員やマネージャーに尋ねましょう。
  • トライアルを実施する:新しいリモートワークポリシーをテストするために、小さなグループを選択しましょう。
  • ガイドラインを強化する:マネージャーは、全員がリモートポリシーに従っていることを確認する必要があります。

リモートワークポリシーのよくある質問

リモートワークポリシーには何を含めるべきですか?

リモートワークポリシーは、チームがオフィスの壁の外でどのように機能するかを示す青写真です。不可欠なのは、適用対象、勤務時間、コミュニケーション基準、およびセキュリティプロトコルです。これら4つの分野が期待値を設定し、混乱を取り除きます。

成功する在宅勤務ポリシーを作成するにはどうすればよいですか?

まず、なぜリモートワークを提供するのかを問うことから始めましょう。柔軟性、人材確保、コスト削減、あるいはそのすべてのためでしょうか?目的が定義されたら、それを中心に構造を構築します。明確な適用ルール、予想される時間、コミュニケーションチャンネル、機器要件、経費ルールを設定します。

リモートワークにVPNは必要ですか?

はい、ビジネスVPNはリモートまたはハイブリッドビジネスにいくつかの利点を提供します。運用セキュリティのために、VPNを使用すると、組織は静的IPと専用サーバーを使用して内部リソースへのアクセスを制限できます。Proton VPNは、トラッカーやマルウェアからも保護します。ビジネスプライバシーのために、VPNは第三者が従業員の閲覧活動を見るのを防ぎ、IPアドレスをマスクします。