抽選でAmazonギフト券が当たる! 2018年の企業法務を振り返るアンケート実施中

働き方改革に伴う情報漏えいリスク 求められるのは「紛失を前提とした対策」

IT・情報セキュリティ

政府が提唱する「一億総活躍社会」の実現に向けスタートした「働き方改革」。2016年9月に内閣官房に働き方改革実現推進室が設置されてから1年以上が経過し、多くの企業が働き方改革を実践しつつある。その内容は、たとえば休暇取得を時間単位で取得できるようにしたり、有給休暇の取得を促したりと、企業ごとに様々である。近年「テレワーク」という言葉も浸透しつつあり、これにより在宅勤務の制度も徐々に整いつつあるようだ。

「企業がテレワークを推進するにあたって、セキュリティ対策を見直す必要がある」と語るのは、パソコン・モバイル端末紛失時の重要データ遠隔消去ソフト「TRUST DELETE」等セキュリティソフトを販売するワンビ株式会社 代表取締役社長の加藤 貴氏だ。2017年11月22日に開催された株式会社マネーフォワードが主催する「MFクラウドExpo 2017」で語られた同氏の講演内容について、レポートする。

社内から社外へ持ち出されるようになった端末

「見直す必要のあるセキュリティ対策」とは、どういうことだろうか。加藤氏によると、働き方改革が求められる以前は、企業は外からの攻撃に対して守ることを中心に考えられてきたという。

「これまでは会社の中で仕事をしてもらうことを前提としていたため、セキュリティ対策としては企業の中で保管されているデータが外からアタックされないよう、ゲートウェイ上の対策が中心だった。たとえば、アンチウイルスや暗号化、ファイアウォールといった対策だ。しかし、在宅勤務など会社の外で仕事をするとなると、ノートパソコンやタブレット、スマートフォンなどのエンドポイントを身につけていることになるため、エンドポイントへのセキュリティ対策が必要だ」(加藤氏)

テレワークなどを実施するにあたって生じるのが、パソコン等の端末の持ち出しである。これまで企業によっては「持ち出し厳禁」とされてきたパソコンは、常にオフィスの中にあり、外部からの攻撃に備えていれば情報を守ることができたが、「働く場所はオフィスだけではない」という時代の変化により、パソコンがオフィスの外へ持ち出されることも多くなっただろう。そうなると、紛失や盗難といったヒューマンエラーによる、情報漏えいリスクが生じてくる。

日本ネットワークセキュリティ協会が2017年6月に公表した調査報告では、2016年における個人情報の漏えい原因の4番目に「紛失・置き忘れ」があげられている(13.0%)。

参考:日本ネットワークセキュリティ協会「2016年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~

また、海外では、日本よりも盗難や強奪といったリスクが高くなる。加藤氏は「これからの課題は社外の漏えい事故。社内防衛だけでは守れない」と警鐘を鳴らす。

ワンビ株式会社 代表取締役社長の加藤 貴氏

ワンビ株式会社 代表取締役社長 加藤 貴氏

パソコンのライフサイクルにあわせた対策

加藤氏が提案するのは「紛失を前提とした対策」である。ヒューマンエラーはどうしても起こり得るもの。だから、紛失することを前提とした対策をとる必要がある。同氏によると、そのポイントの1つは「エンドポイントのライフサイクルに合わせたセキュリティを考えること」だと言う。

パソコンのライフサイクルを考えると、大きく「企画・調達」「導入」「運用・利用」「廃棄・リユース」といったフェーズに分けることができる。このフェーズごとに必要なセキュリティの観点を考える必要があるというわけだ。

【フェーズごとに必要となるセキュリティの観点】
  • 企画・調達フェーズ
    運用から廃棄までを考えたパソコンの検討

  • 導入フェーズ
    容易に初期化できるようなイメージを検討

  • 運用・利用
    盗難・紛失することを前提としたセキュリティポリシーの設定

  • 廃棄・リユース
    使用停止=セキュリティ停止ではない

データの重要性にあわせた対策

テレワークなどで活用していく際に注意すべきポイントの2つ目として加藤氏があげるのが、「データの重要性」である。保存データの社会的重要性が高いか低いか、持ち出しの必要性が高いか低いかによって、対策すべき点が変わってくるという。

ワンビ株式会社 代表取締役社長 加藤 貴氏の講演資料

出典:ワンビ 加藤氏の講演資料

「全てのデータに対して、ガチガチに守らないといけないかというとそうではない。タブレットであればタブレットのやり方、POSであればPOSのやり方等、端末によって対策はそれぞれだ。また、企業や職種によっても、データの重要度は変わってくる」(加藤氏)

たとえば、社会的重要性が低く、持ち出しの可能性も低いデータには、学校の授業データ・参考資料が保存された端末や、ショールームの商品情報や営業情報が保存された端末などがあげられる。これらは、持ち出す必要性が低い、言い換えると持ち出す必要のない端末であることが多いため、「持ち出し」という行為があった時点で対策する必要がある。ワンビが提供している「OneBe UNO」をこれらの端末にインストールすると、端末が持ち出された場合に大音量のアラートが鳴るようになっている。

一方、社会的重要性が高く、持ち出しの必要性が高いデータについては、同社が提供する「TRUST DELETE Biz」のような、端末に保存されている個人情報や機密データを、遠隔から消去できる情報漏えい対策ソリューションが必要となる。該当するデータとしては、顧客情報や新製品情報、契約情報が保存された営業端末や、患者の診察情報や治療歴などが保存された医療機関の端末等である。

TRUST DELETE Biz パナソニック版」であれば、万が一パソコンが紛失し、電源がオフの状態であったとしても、遠隔操作でパソコンの電源を入れ、中のデータを消去することが可能だという。

このように、データの性質によって守り方は様々だ。自社の中にどのようなデータがあり、どのような利用のされ方をしているのか、把握することが重要である。

持ち出すことを罰則化してはいけない

最後に加藤氏は、「セキュリティは、人を拘束するためのものではない」と語った。

「情報漏えい対策を社員への持ち出し禁止や罰則で守ってはいけない。パソコンの持ち出し禁止や、違反した場合の罰則を掲げている企業はまだまだ多い。しかし、それはおかしな話。パソコンを持ち出し、無くしてしまう人は決してずぼらな人間というわけではない。むしろ、会社にとって重要な人が多い。仕事をしなければパソコンを持ち出すことはない。がんばって仕事をしている人だからこそ、持ち出しているのだ。そうした社員を罰則の対象にするのではなく、社員が安心して働けることが重要だ。生産性を下げず、社員を締め付けず、事故の発生確率を下げ、被害を最小限にすることが、求められるセキュリティ対策だろう」(加藤氏)

今後ますます加速していくであろう働き方改革。様々な面で従来の規定の見直しを行う必要があるだろう。加藤氏が話すように、情報漏えいの対策として罰則という形で社員を縛り付けず、情報漏えいした際に被害を最小限に抑えられるような対策をとることが、働き方改革を推進する企業にとって建設的な取り組みだろう。今一度、自社のセキュリティ対策が現在の働き方・これからの働き方に則したものとなっているのか、見直してもらいたい。

(取材、構成:BUSINESS LAWYERS編集部)

関連する特集

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する