IT時代の労務管理で大事なこととは?

IT業界出身のIT社労士が、情報セキュリティを含めたIT時代の労務管理について話していきます。

どんな情報を使うか?

先日、こんな記事が出ていました。

 

news.yahoo.co.jp

 

まさに情報漏洩の事件です。

 

いまは大量かつ重要な情報が簡単に持ち出されてしまう時代です。

今回の場合は故意に持ち出した可能性も考えられますが、

過失で漏洩してしまうこともありますので、企業個人ともに注意が必要です。

 

1.誰がどのレベルの情報を扱うか?

今回の事件にも関係するのかもしれませんが、

その情報にアクセスできるのは誰か?

はあらかじめ決めておかなければなりません。

 

「誰が」としては、部門ごと、担当者ごと、職位ごと、

いろいろ区分けの方法はあります。

 

そこに「どのレベル」を組み合わせると、

・社員の個人情報にアクセスできるのは総務部のみ

・技術情報にアクセスできるのは技術者のみ

などのレベル分けが出来ることになります。

 

「誰でも」「全部の情報」が見られることは危険です。

 

 

2.それは機密情報になるか?

企業としては「ノウハウ」「取引先情報」などを機密情報として

扱いたい情報は多数あると思います。

 

では、それらが法律上でも機密情報として扱われるか?

 

という点については、注意が必要です。

簡単に言えば、

 

ちゃんと機密情報としての管理をしていたか?

 

は重要なポイントです。

 

✖ 誰でも見られる環境に置いてある。

✖ 誰でもコピーできる環境にある。

 

こうした管理では機密情報として扱われることは難しくなります。

 

機密情報とするのであれば、

・情報閲覧者の情報(閲覧者や閲覧日時が分かるログ等)を残す

・機密情報へのアクセス権限を制限する

といった対応は必要となるでしょう。

 

3.情報の価値

 情報の価値については、

保有者にとって価値のあるもの

保有者にとっては価値はないが、他者にとっては価値があるもの

両方あります。

  

普段から電話やメールでやり取りしている取引先情報などは

自社にとっては単なる連絡先かもしれませんが、特にそこを通じて

大手企業などに攻撃を仕掛けようとしている場合には

絶対に漏洩してはいけない情報の一つでもあります。

 

リモートワークをする中で、

・PC画面に情報を表示したまま離席

・後ろの人からPC画面を覗かれる

・大きな声で電話で話し、相手先や取引内容が周りでも分かる

といったことは、ついやってしまう危険な行為です。

 

社内で扱う情報は他者にとっても価値があると考え、

普段から情報の取り扱いに注意しておくことはリスク回避の基本となります。

 

 

 

どのようなツールを使うか?

年末の慌ただしさの中で、あっという間に新年になりました(苦笑)

改めて、新年あけましておめでとうございます。

 

晦日には東京で1300人の感染者。

今日も1200人を超える感染者。

また緊急事態宣言・・・という話も出てきています。

 

またテレワーク実施に舵を取る企業も出てくるかもしれませんね。

 

そもそも、緊急事態宣言中だから在宅勤務、

解除されたら在宅勤務も解除・・・ということもどうかと

思うことはありますが。

 

在宅勤務の体制が、

仕事として成り立つか?

運用として成り立つか?

という視点で考えても良いのでは?と思います。

 

さて、本題に戻ります。

 

前回の続きで、どんなツールを使うか?

これも大事なポイントです。

 

1.デバイス(機器)は誰のもの?

ツール、というか機器(デバイス)の話になりますが、

在宅勤務を含め、社外でデータを扱う際にデバイスの所有者は誰か?

ということはポイントになります。

 

①会社から貸与されるPCやタブレット

 元々企業のものですので、データを扱う環境も整っていますが、

 万一破損や紛失した場合のリスクも大きい。

 

②従業員個人所有のPCやタブレット

 個人所有のため、業務で扱うために必要なソフト(アプリ)が

 インストールされていないケースも多い。

 インストールが必要な場合、会社のライセンスを使うのかは要検討。

 (在宅勤務が終わった段階で確実にアンインストールする必要あり)

 

BYODってご存じですか?

Bring Your Own Deviceの略で、従業員個人所有のPCやタブレットなど

機器を業務でも利用することをいいます。

 

従業員の家族も使う、ということになれば

・仕事で使う場面

・プライベートで使う場面

を切り分けないと、大変なことになります。

 

Windowsの場合には、最低でも仕事用のアカウントを作成するなど

自分と家族の使用場面を分けることは必須です。

 

これは個人の判断に任せるのではなく、BYODを採用するのであれば

在宅勤務を指示する会社側が明確にルール化しておくべきでしょう。

 

2.デバイスのセキュリティ

会社貸与デバイスも含めてですが、特にBYODの場合は

OSのアップデートがなされているか?は大事です。

 

セキュリティ上、最新の状態になっていないOSは危険です。

ましてやWindows7を使っているなど、古いOSを使っていることは論外です。

 

これも、在宅勤務をする際にルール化しておくべきでしょう。

 

また、タブレットスマートフォンを使うこともあると思いますが、

簡単に使えるために、ついPCよりもセキュリティ意識が低くなりがちです。

 

ただ、

タブレットスマートフォンはPCである

という気持ちが大事です。

 

膨大なデータをネット環境と接続して扱う点ではPCと何ら変わりはありません。

 

画面ロックをかけることや、万一紛失した場合に

外部からデータ消去をかける仕組みなどを設定しておくべきでしょう。

 

3.データの持ち運び方法

かつてはUSBが多かったですが、今はクラウドサービスもあり

大量のデータをどこからでも容易に取得・参照できるようになりました。

 

USBに関しては、容量が大きくなっていることもありますが

サイズが小さいため、ポケットに入れて落としてしまった・・・

という話もよくあります。

 

この時、拾われて中身を見られたらアウトです。

 

例えば、

パスワード付きで圧縮したデータを入れる

暗号化して保存できるUSBを使う

といった対策が必要でしょう。

 

クラウドサービスに関しては、

個人アカウントを使わせない

といったことは意外と大事です。

 

個人アカウントのクラウドを使った場合、

会社の機密情報が個人アカウントを経由することになりますので

使用後に確実に削除したかの確認ができなくなります。

 

会社アカウントを取得して、それを使用させるべきです。

 

 

どのような場所(環境)で使うか?

仕事における情報セキュリティを考える上で、

どんな場所(環境)で情報を扱うのか?

は大事なことです。

 

例えば、コロナ禍で急速に増えた在宅勤務。

 

広い意味でいえば、在宅勤務とは自宅だけではなく

会社外の場所で仕事をする

ということです。

 

1.Wi-Fi

今は、自宅でもWi-Fi環境があったり、外出先でもWi-Fiがある

といったことは珍しくありません。

 

では、そのセキュリティを考えたことがありますか?

 

外出先の無料Wi-Fiはセキュリティ上使わないほうが良い

ということはご存じの方も多いかと。

 

では、自宅のWi-Fiは?

 

外部からWi-Fiが見えなくなるようなステルス機能をONにしていますか?

 

この機能がONになっていないと、例えば隣の家などから

Wi-Fiが拾えることになります。

(確かにパスワードがあれば侵入こそできないかもしれませんが)

 

Wi-Fiを経由してそのパソコンに侵入される危険があるということです。

 

ステルス機能はONにしておきましょう。

 

2.自宅のパソコンのセキュリティ

在宅勤務で使うパソコンが自宅のパソコンだとしたら、

ファイヤーウォールウイルス対策のソフトは入っていますか?

 

確かに、Windows10標準搭載の機能もありますが、

機密情報を扱う以上は対策はしておいたほうが良いかと。。。

 

会社のパソコンは、サーバーの時点でリスクを排除してくれる場合もありますが

自宅ではそうはいきません。

 

自宅パソコンで仕事をする場合は、ファイヤーウォールウイルス対策のソフトを

あらかじめ入れておきましょう。

(改めて購入する場合の費用は会社との交渉をしてもよいかもしれません)

 

3.他の人の目(自宅)

 在宅勤務でパソコンを使う場所に、(例え家族だとしても)自分以外の人間が

パソコンを触ることが出来ませんか?

 

席を外しているときに家族の誰かが画面を見られる状況になっていたりしませんか?

悪意はなくとも、

「ちょっと調べたいことがあって」

という理由で見に行ったHPからウイルス感染という話は実際にあります。

 

そもそも社内ではありえなかった話ですが、自宅で仕事をしていると

つい気が緩む部分があります。

 

席を立つときには画面ロックするといった行動が必要です。

 

4.他の人の目(自宅以外)

 自宅以外だと、

隣や後ろに座っている人から画面を覗き見される

なんてことは簡単にできます。

 

茶店等で作業をする場合には、自分の座る位置にも注意が必要です。

 

あるいは、覗き見防止フィルムを付けることも一つの対策です。

 

 

情報セキュリティは誰が担う?

コロナ対応の中で、突然のリモートワークになった方も多かった2020年。

 

それまでは、情報セキュリティ対策というと

どちらかと言うと企業が担う点が多かったと思います。

 

しかし、リモートワークで従業員が社外で情報を扱うことが多くなり

企業だけが担うだけでは足りなくなりました。

 

リモートワークをする各人が、

・どのような場所(環境)で

・どのようなツールを使って

・どんな情報を

・どのように使ったか

・使い終わった後どうしたか

といった点に主に注目です。

 

これから一つづつ触れていきたいと思います。

コロナ禍で重要度が増したこと

はじめまして。

IT業界出身で社労士をしています。

  

これまでもITに強い社労士として活動してきましたが、

 2020年の新型コロナウイルスの感染拡大により

・在宅勤務

・リモートでの会議

などが突然増えて、労務管理面でのサポートも様変わりしました。

皆様もいろいろと対応に追われることになったのでは?

 

一方で、置いてけぼりになったのが情報セキュリティ対策のハナシ。

 

情報セキュリティ対策なんていうと、難しく聞こえるかもしれませんが

まずは基本的なことを知って対応することが第一歩です。

 

例えば、

サーバー攻撃は大企業しか関係ないと思っていませんか?

 

今は、中小企業への攻撃も相次いでいます。

何ででしょう?

 

それは、

大企業はしっかりしたセキュリティ対策が取られているので、

取引先企業を経由して大企業への攻撃を行うためです。

 

そうなると、自社の情報セキュリティ対策は自社防衛だけが目的ではない

ということが言えます。

 

そのあたりのことを含めて、労務管理上のポイントを

少しづつ語っていきたいと思います。