テレワークにおける個人情報の持ち出しに関する課題とシステムやルールで解決する方法
- INDEX
-
個人情報の持ち出しに関する課題や問題が解決できず、テレワークを導入できていない、または検討すら始まらないケースがあります。
昨今では業界や業種を問わず、個人情報を取り扱う業務や作業でもテレワークが進んでいることを考えると、個人情報の持ち出しに関する課題や問題の解決は決して難しいことではないのは明白です。
今回はテレワークにおける個人情報の持ち出しに関する課題や問題、その課題や問題をシステムやルールで解決する方法についてお話します。
テレワークにおける個人情報の持ち出しに関する課題や問題
はじめにテレワークにおける個人情報の持ち出しに関する課題や問題について簡単に説明します。
データの移動やコピーなど監視・管理する仕組みがわからない
ITに疎い、またはITから縁遠い業界や業種の場合、データの移動やコピーを監視・管理する仕組みがわからない、もしくは監視や管理そのものを知らないことが課題になるケースもあります。PC操作ログ・メールの送信履歴・Web閲覧履歴などのログを取得・監視・管理できる仕組みがあれば、テレワークも含めて個人情報の取扱いがしやすくなりますが、仕組みがわからない、知らない状態であれば、どのように管理すれば良いか理解できなくても仕方ありません。
ネットワークへのアクセス制限や権限によるデータの制御が甘い
ネットワークへのアクセス制限や権限によるデータの制御が甘い場合もテレワークで個人情報を取り扱うのは不安に感じるでしょう。実際問題としてシステム的にログインやデータに関する制限や制御ができなければ、誰が、どこから、何にアクセスしても不思議はありませんし、それが悪意のある第三者である可能性も決してゼロではなく、サイバー攻撃や内部不正の標的になってしまいます。
データへのアクセスが厳しくなると業務に支障が出る
テレワークで個人情報を持ち出すことは必要性を感じるが、そのためにデータへのアクセスが厳しくなると業務に支障が出ると感じる方もいらっしゃいます。実際に社内であればNASなどのフォルダを開けば、必要な時にアクセスできていたデータも、テレワークであれば社内ネットワークへログイン、必要に応じてフォルダごとにアカウント認証が必須となれば、確かに利便性が損なわれ、業務に支障が出ると感じても無理はないかもしれません。
データの取扱いが属人化、もしくは物理的に出社が必須
そもそも、個人情報に関するデータの取扱いが属人化している場合、もしくは物理的に出社が必須となるケースもあります。これらはセキュリティの観点からそうすべきという部分もあれば、コンプライアンスのためにそうしなければならないという部分でもあり、何らかの形でセキュリティ性を確保しつつリモートでもデータの一元管理ができるような仕組みを導入しなければ解決は難しいでしょう。
課題や問題をシステムやルールで解決する方法
次に課題や問題をシステムやルールで解決する方法について解説します。
情報システム部およびセキュリティ担当の配置
もし、情報システム部やセキュリティ担当が配置されていなければ、まずは情報システム部とセキュリティ担当の配置を行いましょう。そもそも、情報システム部やセキュリティ担当はテレワークに必要な機材の選定、社内ネットワークの管理、データへのアクセス制限や制御など、セキュリティの根幹となる部分を保守・運用するために必須の人材です。
テレワーク以前にセキュリティに不安や心配があるのであれば、早い段階でセキュリティ人材の雇用および育成できる体制を整えましょう。企業や組織の規模が小さく、専任の担当者を配置するのが難しければ、せめて総合的なセキュリティソフトやIT資産・情報資産管理ソフトを導入し、その上で少しでもITに強い人材を窓口・担当として、セキュリティソフトのベンダーに連絡・連携できる体制を整えておくことをおすすめします。
PC操作ログ・メール送信・Web閲覧履歴などのログの取得・監視
次の段階としてはPC操作ログ・メール送信・Web閲覧などの履歴・ログを取得し、監視や管理できる体制を整えましょう。これらはテレワークの有無によらず、個人情報や情報資産を守るために必須の仕組みです。むしろ、これらの仕組みを導入していなければ、サイバー攻撃や内部不正が行われても検知できず、何があったかもわからないまま情報漏えいやデータの改ざん、またはIT資産の私物化や私的利用をされても認識すらできないままになります。
また、監視という響きで導入を嫌がる方もいらっしゃいますが、実際に監視とは透明性を確保するためにもあります。例えば、内部不正と思われる作業や動作が「うっかりミスや間違い」だった場合、警告のみで済みます。本人が気付かないような操作でも、お互いが内部不正かもとその都度不安にならずに済みます。その上で監視の仕組みによってサイバー攻撃や内部不正を検知できる仕組みが導入されていれば、外部や内部からの悪意のある第三者からの被害・リスク・脅威に怯えずに済みます。
社内ネットワークへのアクセス制限および不正PC遮断
テレワークに必須である社内ネットワークへのアクセス制限と許可していない不正PCからのアクセスを遮断できる仕組みも導入しましょう。基本的には許可したデバイス・IPアドレスのみ社内ネットワークにアクセスできるようにしておいた方がセキュリティ性が高まります。また、家庭のインターネット回線が固定IPアドレスでない場合は、その分セキュリティ性を高めるために2要素認証を導入するなど、もう一歩進んだセキュリティ対策を行うのもおすすめです。
内部不正が検知できること、ハイリスクノーリターンであることを周知徹底
テレワークも含めて、パソコンの操作は一瞬だから、データを盗んでも、改ざんしてもバレないだろうという安易な気持ちで内部不正を行う人は悲しいことに存在します。内部不正は監視の仕組みによって管理者側で検知できること、監視しているということを明示することだけでも抑制することができます。同時に内部不正がハイリスクでありノーリターンであることを周知徹底することで抑止力が高まりますので、個人情報の取扱いや持ち出しのルールとともに、どのような対策を行っているのかもきっちりと全社的に伝えておきましょう。
基本的には外部記憶装置による持ち出しは禁止した方が安全
昨今では薄型/小型の外付けSSD、またはmicroSDカードについても大容量のものが増えており、安価に手に入りやすくなっています。そのため、これらの外部記憶装置によってデータの持ち出しが容易になっているのも事実です。しかし、基本的には外部記憶装置による持ち出しは禁止して、かつシステム的にも物理的にも外部記憶装置を利用できないようにした方が安全です。
大容量のデータで、どうしても外部記憶装置による持ち出しや持ち運びが必要な場合においても、データの暗号化や復号化する仕組みを導入したり、持ち出しや持ち運び後の外部記憶装置のデータの処理を明確にしたりとデータの取扱いが曖昧にならないように充分に指導・徹底することをおすすめします。
まとめ:個人情報の持ち出しが不要な業務体制と監視・管理を導入しよう!
今回はテレワークにおける個人情報の持ち出しに関する課題や問題、その課題や問題をシステムやルールで解決する方法についてお話しました。基本的にはテレワークでその都度、外部記憶装置を用いてデータを移動・持ち運び・持ち出しを行わなければならない体制がNGだと考えましょう。そして、テレワークで使用するデバイスは管理する側の監視下にあるということを明示し、内部不正がハイリスクノーリターンであり、必ず検知できることを理解させるべきです。その上で各種ログによる監視を行うことで、何かあった時でもすぐに対応できるセキュリティ体制が確立できます。
当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、テレワークにおける個人情報の持ち出しに関する課題や問題は解決できます。監視や管理の他、セキュリティ体制に不安がある場合にも役立ちますので、ぜひともこの機会にご相談、お問い合わせください。