【後編】在宅勤務の落とし穴!?気づかないうちに情報流出しているかも

コラム
セキュリティ

 前編では、在宅勤務での注意点、"情報流出"、そして"情報漏えい"のリスクを確認しました。そして後編では、それらを防ぐために意識すべき重要なことを検討していきます。

 (前編からの続き)

2.情報流出を防ぐために。意識すべき重要なこと

(1)あなたはこんなとき、どうしますか?
 例えば、以下のような状況に置かれたとき、あなたはどのような行動をとりますか?

例①
 会社でPCなどのIT機器の持ち出しは禁止されているけれど、webコンテンツの取材に行かないといけない。PCは持ち出しできず、ICレコーダーも貸してもらえなかった…インタビューのときはどうする…?
→こんなときは、会社の規則に従うなら、アナログな方法でメモするか、よほど記憶力のある人なら頭で覚えるしかないですね。しかし、メモだけでしっかりとインタビューを記録するのは大変です。もし、相手が早口だったら、重要な人のインタビューで一語一句を逃せない状況だったら…しかたなく、自身のスマホに搭載されているレコーダーを使いませんか。

例②
 会社でPCなどのIT機器はもちろん、USBやSDカードなどの記録媒体に保存して社外に持ち出すのは禁止されている。残業も厳しすぎる一方、業務量が大量で業務時間内に終わらない。しかし明日は大事な取引先との商談で、なんとしてでも資料作りを終わらせないといけない。こんなときはどうする…?
→自宅に持ち帰って作業するしかない、と考えませんか。仕方なくデータを自身のUSBにコピーし、自宅PCにデータを移し作業する。作業が終了したらまたUSBにデータをコピーし、会社に持っていきそのデータを会社のPCに移し、その資料を印刷し商談に持っていく…。

 以上のようなことは、思わずやってしまいそうなこと。スマホを盗まれたり、無くしてしまったり、あるいは会社に戻って作業をした後に、データを消すのを忘れる恐れもあります。
 また、データを削除したつもりでも、転売した際にデータを復旧されてしまったら…ということが起こりえます。さらに、USBを会社のPCに挿してウイルス感染、自宅PCがサイバー攻撃を受けたら…など、前編でも確認した通り、重大な情報漏えい事件につながりかねません。

(2)まず、社内のセキュリティルールを確認
 情報が流出しないように何か具体的な対策をする前に、まず、社内のセキュリティルールとその目的を確認しておきましょう。というのも、そんなルールがあるのを知らなかった、ということも問題となりますが、ルールが設定された目的を把握しないと、その対策の重要性を知らないがゆえ、ついついルールを守ることを忘れてしまった、なんてこともあるかもしれません。

 したがって、あなたの会社、組織がどのような方向性でルールを設定しているかを確認し、意識して行動しましょう。
①個人の信頼に任せる。PCなどのIT機器の持ち帰りもOK。Wi-Fiなどの回線も指定せず自由に使って仕事をしてOK。しかし絶対に守らないといけないルールはつくり、従業員にはルールを周知させリテラシー教育も徹底させる。
②従業員は見てないところで何をやるか分からないので、会社が厳しいルールを設定する。使用できる端末や回線なども厳しく制限。

 業界や業種、あるいは大企業なのか中小企業なのかなどによって、ルールの厳しさにはかなりばらつきがあります。在宅勤務を想定していなかった抜け道だらけのルール、あるいはあまり現実的でない厳格なルールが存在していることもあるでしょう。
 私たちは、それぞれの会社や組織でルールが作られた目的、つまり「情報を護る重要さ」、そして「どのようなリスクがあるか」を理解することが大切です。実際は、トップダウンのルールを押し付けるのではなく、従業員全員が共感できるルールであることが理想ですが、もし、ご自身の会社や組織が上記②のような厳しいルール設定であったとしたら、そのルールが設定された目的を確認しましょう。今後、改善を提案していくことができるかもしれません。

 ちなみに、会社や組織がどのような対応をしていくべきかについては、情報資産管理マガジン『「シャドーIT」そこに潜む問題に気づいていますか?』で触れているのでこちらもご参照ください。

(3)迷ったら、会社・組織に確認
 大事なのは、まずは情報漏えいのリスクを理解し、会社や組織が策定したルールの目的を理解すること、そしてそのルールを把握することです。その上で迷ったときは「何をしていいのか、いけないのか、を会社・組織に確認する」ことが重要です。
 個人が勝手にツールを使用するのはほとんどの組織で原則NGです。しかし、どうしても、の状況に置かれた場合は、まずは自身が所属する組織に相談することが大切です。あとは自分の責任が取れる範囲で行いましょう。

3.では、具体的にはどうしたらいいの?

 まずは、上記2(3)で述べたことを意識することが重要ですが、これに加え、在宅勤務での物理的なセキュリティの問題には、例えば以下のようなことを意識して対策することも有効です。
 ここでは一例を挙げます。

◆家族への情報漏れを防ぐために
・ワーキングスペースを確保する
 例えば、作業中は人が入らないように個室で仕事をする。Web会議の際は、鍵があれば部屋に鍵を
 かける。自身の個室がない場合は、働くスペースをどのように分割するかなどについて家族と話し
 合い、仕事をする自身のテリトリーを確保する。
・web会議をするときは、イヤホンなどで音漏れを防止する
・盗み見防止用保護シートを画面に貼る
・仕事中以外でのPCの保管方法に気を付ける(鍵付きの引き出しで保管しておくなど)

●SNSの落とし穴に気を付ける
「気軽に」「何気なく」発信したつもりの情報が、世界中に広まっていくという危険性を理解しないといけません。一度ネットに上げた情報は、半永久的にネット上に情報が残ります。
 また、個人情報を護るためにも、投稿には気を付けないといけません。例えば、不特定多数が見られる公開設定で自宅の写真を投稿した場合、映っている近隣風景から住所を特定されてしまったり、友人とのSNS上の会話から、出身校や勤務先を推測されてしまうこともあります。
 少しの情報で特定されてしまうこともあるので、在宅勤務の様子をSNSに投稿するのは控えましょう。

 SNSへの書き込みについては、就業規則で禁止している組織もあります。まずは、SNSには情報流出のリスクが潜んでいることを意識すること。その上で上手にSNSを利用し、活用していくことが望まれます。

4.データを護るということ

 そもそも、データを護るということはどういうことでしょうか。
 組織を護るだけでなく、社会も護ることになります。そして、自分の身を守ることにもなります。個人情報をさらして犯罪から身を守る、ということももちろんですが、誤って企業の情報を流出させてしまい、クビになったり訴訟を起こされてしまうリスクを抑えることに繋がるからです。この大前提を意識していれば、必然と情報流出に気を付けるようになるでしょう。

まとめ

 在宅勤務には、様々なリスクが潜んでいます。
 まずは、情報を護る意味、そして漏えいのリスクを理解し、そして会社のルールを把握しましょう。困った状況になったら、重大な情報漏えい事件になる前に、会社に相談することが大事です。
 そして何より忘れてはいけないのは、データを護ることの意味。それは、組織、社会、そして自分自身を守ること。このことを意識し、日々の仕事に取り組みましょう。

関連記事