IT時代の労務管理で大事なこととは?

IT業界出身のIT社労士が、情報セキュリティを含めたIT時代の労務管理について話していきます。

意外と知らないメール設定

ビジネスでもメールを使う機会が増えましたが、

「形式」って意識されていますか?

 

メールソフトの設定などで確認できるのですが

テキスト形式

やら

HTML形式

やら

リッチテキスト形式

やらが選べます。

 

実はこの設定は意外と重要です。

 

結論から言うとウイルス対策的には

テキスト形式

がおすすめとなります。

 

特にHTML形式は悪影響を及ぼすコードが埋め込まれたものを

そのまま送信できるため、企業によってはHTML形式のメールを

受信できないようにしているところもあります。

 

文字に装飾ができるHTML形式ですが、

ビジネスの現場では避けるべきかもしれません。

SNS利用ルール、決めていますか?

午前中の訪問を終えて近くにお店でランチ中❗️

(お店の写真や、位置情報付きの投稿)

 

なんて呟き、良く見ますが、実は危ないんです。

 

最近のSNSでは実名や勤務先をプロフィール欄に掲げることもあります。

同じ業界の人などが見れば、

 

「訪問ってこの会社なのでは?」

 

とすぐにわ分かります。

競合関係にある会社の取引が分かってしまうなんてことも。

 

所属部の集合写真から、その部の売り上げを推測する

なんてこともある世の中ですので、SNSへの投稿は

気を付ける必要があります。

 

ただ、社員個人のSNSですので

会社としては完全に管理するわけにもいかず

結果的にはSNS使用に関するルールを定めることが

まずは出来ること。

 

投稿の仕方でどんなリスクがあるのか?

やってはいけない投稿とは?

最近は社員教育の一環で、SNS研修も増えてきました。

 

研修実施やルール設定無しで、SNSリスクを被った場合、

会社の管理責任者も出てくる世の中になりつつあるのかもしれません。

どのように使ったか?使い終わった後どうしたか?

地域により、2回目の緊急事態宣言が出ている中

再び在宅勤務やテレワークの話題が増えてきました。

 

そこで、今回は社外での情報取り扱いに関して

どのように使ったか?

について触れます。

 

関連があるので、

使い終わった後どうしたか?

についても触れておこうと思います。

 

⒈原本となる情報(データ)を扱うリスク

今はネットワーク上から直接どこかに置かれた情報に

アクセスすることも多いですが…

 

大事な情報であればあるほど、原本となる情報に直接アクセスすることは

改ざんや誤っての削除などのリスクが大きくなります。

 

例として正しいか分かりませんが、

車を購入すると大体鍵が2本付いてくると思います。

 

ではこの2本を常に持ち歩くかというと、

そんなことは無いですよね。

一本を普段使うものとして、もう一本は自宅に保管

ということが多いと思います。

 

これがもし最初から一本だったら、

もしその鍵が何らかの理由で壊れてしまったり、

紛失してしまったら…

車に乗れなくなってしまいます。

 

情報に置き換えてみると、

この世に唯一の大事な情報にアクセスしていて

誤って削除してしまった。。。

 

ネットワーク上のファイルはゴミ箱に入らない

ということも少なくありません。

 

会社の大事な情報が簡単に消えてしまいます。

 

もちろん、このリスクに対しては

普段から会社としてバックアップを取っておく

ことである程度回避できます。

 

⒉情報(データ)をコピーして扱うリスク

原本となる情報を扱うリスクを回避するために、

例えばサーバー上のデータを自分のパソコンにコピーして使う。

 

これもよくある話です。

 

しかし、このケースでは、

・重要な情報が意図しない場所に複製される

・コピーされた情報の利用後の扱い

がリスクになります。

 

コピーした情報を使い終わったら削除する。

この行為で情報は消えて無くなるでしょうか?

 

実はパソコンのデータは消えることはありません。

 

ゴミ箱から削除したら消えて無くなるように見えますが、

この時消されるのはそのデータの在り方の情報です。

 

データを「家」として捉えると、

私たちがゴミ箱に入れて削除するのは家の住所情報だけで、

家の建物はそのまま存在しているという感じでしょうか。

(分かりにくいですかね?(^^;;)

 

専用ソフトを使えば、簡単に削除したデータ復元が出来てしまいますので、

在宅勤務で使った個人所有パソコンで機密データを使った後、

見た目には削除したつもりで、フリマや下取りに出してしまうと

少し知識のある人間なら簡単に情報を入手できる

そんなリスクもあります。

 

実はこういったケースでは、使い終わったデータを

「また使うかもしれない」

と削除せずに置いてしまい、その後ウイルス感染して漏洩

という事象もあります。

 

社外においては、データを会社所有機器以外にコピー禁止

といったルールは必要かもしれません。

 

⒊紙の情報

社内ではマルチスクリーン(2画面)などで作業していても

社外ではノートPCで画面が小さいため、

あえて紙に印刷した情報を使うこともあります。

 

では、その印刷した情報は使い終わった後

どのように扱うでしょうか?

 

保管?

だとすれば、どのような場所で、どのように?

 

廃棄?

だとすれば、シュレッダーは在宅勤務者の自宅にあるのか?

 

そんなことを考えなくてはなりません。

 

印刷することを許可するのか?

印刷そのものを禁止するのか?

あらかじめルールを定めておくべきです。

 

どんな情報を使うか?

先日、ソフトバンクを退社した元社員が

5Gに関する技術情報を持ち出したというニュースがありました。

 

まさに情報漏洩の事件です。

 

いまは大量かつ重要な情報が簡単に持ち出されてしまう時代です。

今回の場合は故意に持ち出した可能性も考えられますが、

過失で漏洩してしまうこともありますので、企業個人ともに注意が必要です。

 

1.誰がどのレベルの情報を扱うか?

今回の事件にも関係するのかもしれませんが、

その情報にアクセスできるのは誰か?

はあらかじめ決めておかなければなりません。

 

「誰が」としては、部門ごと、担当者ごと、職位ごと、

いろいろ区分けの方法はあります。

 

そこに「どのレベル」を組み合わせると、

・社員の個人情報にアクセスできるのは総務部のみ

・技術情報にアクセスできるのは技術者のみ

などのレベル分けが出来ることになります。

 

「誰でも」「全部の情報」が見られることは危険です。

 

 

2.それは機密情報になるか?

企業としては「ノウハウ」「取引先情報」などを機密情報として

扱いたい情報は多数あると思います。

 

では、それらが法律上でも機密情報として扱われるか?

 

という点については、注意が必要です。

簡単に言えば、

 

ちゃんと機密情報としての管理をしていたか?

 

は重要なポイントです。

 

✖ 誰でも見られる環境に置いてある。

✖ 誰でもコピーできる環境にある。

 

こうした管理では機密情報として扱われることは難しくなります。

 

機密情報とするのであれば、

・情報閲覧者の情報(閲覧者や閲覧日時が分かるログ等)を残す

・機密情報へのアクセス権限を制限する

といった対応は必要となるでしょう。

 

3.情報の価値

 情報の価値については、

保有者にとって価値のあるもの

保有者にとっては価値はないが、他者にとっては価値があるもの

両方あります。

  

普段から電話やメールでやり取りしている取引先情報などは

自社にとっては単なる連絡先かもしれませんが、特にそこを通じて

大手企業などに攻撃を仕掛けようとしている場合には

絶対に漏洩してはいけない情報の一つでもあります。

 

リモートワークをする中で、

・PC画面に情報を表示したまま離席

・後ろの人からPC画面を覗かれる

・大きな声で電話で話し、相手先や取引内容が周りでも分かる

といったことは、ついやってしまう危険な行為です。

 

社内で扱う情報は他者にとっても価値があると考え、

普段から情報の取り扱いに注意しておくことはリスク回避の基本となります。

 

 

 

どのようなツールを使うか?

年末の慌ただしさの中で、あっという間に新年になりました(苦笑)

改めて、新年あけましておめでとうございます。

 

晦日には東京で1300人の感染者。

今日も1200人を超える感染者。

また緊急事態宣言・・・という話も出てきています。

 

またテレワーク実施に舵を取る企業も出てくるかもしれませんね。

 

そもそも、緊急事態宣言中だから在宅勤務、

解除されたら在宅勤務も解除・・・ということもどうかと

思うことはありますが。

 

在宅勤務の体制が、

仕事として成り立つか?

運用として成り立つか?

という視点で考えても良いのでは?と思います。

 

さて、本題に戻ります。

 

前回の続きで、どんなツールを使うか?

これも大事なポイントです。

 

1.デバイス(機器)は誰のもの?

ツール、というか機器(デバイス)の話になりますが、

在宅勤務を含め、社外でデータを扱う際にデバイスの所有者は誰か?

ということはポイントになります。

 

①会社から貸与されるPCやタブレット

 元々企業のものですので、データを扱う環境も整っていますが、

 万一破損や紛失した場合のリスクも大きい。

 

②従業員個人所有のPCやタブレット

 個人所有のため、業務で扱うために必要なソフト(アプリ)が

 インストールされていないケースも多い。

 インストールが必要な場合、会社のライセンスを使うのかは要検討。

 (在宅勤務が終わった段階で確実にアンインストールする必要あり)

 

BYODってご存じですか?

Bring Your Own Deviceの略で、従業員個人所有のPCやタブレットなど

機器を業務でも利用することをいいます。

 

従業員の家族も使う、ということになれば

・仕事で使う場面

・プライベートで使う場面

を切り分けないと、大変なことになります。

 

Windowsの場合には、最低でも仕事用のアカウントを作成するなど

自分と家族の使用場面を分けることは必須です。

 

これは個人の判断に任せるのではなく、BYODを採用するのであれば

在宅勤務を指示する会社側が明確にルール化しておくべきでしょう。

 

2.デバイスのセキュリティ

会社貸与デバイスも含めてですが、特にBYODの場合は

OSのアップデートがなされているか?は大事です。

 

セキュリティ上、最新の状態になっていないOSは危険です。

ましてやWindows7を使っているなど、古いOSを使っていることは論外です。

 

これも、在宅勤務をする際にルール化しておくべきでしょう。

 

また、タブレットスマートフォンを使うこともあると思いますが、

簡単に使えるために、ついPCよりもセキュリティ意識が低くなりがちです。

 

ただ、

タブレットスマートフォンはPCである

という気持ちが大事です。

 

膨大なデータをネット環境と接続して扱う点ではPCと何ら変わりはありません。

 

画面ロックをかけることや、万一紛失した場合に

外部からデータ消去をかける仕組みなどを設定しておくべきでしょう。

 

3.データの持ち運び方法

かつてはUSBが多かったですが、今はクラウドサービスもあり

大量のデータをどこからでも容易に取得・参照できるようになりました。

 

USBに関しては、容量が大きくなっていることもありますが

サイズが小さいため、ポケットに入れて落としてしまった・・・

という話もよくあります。

 

この時、拾われて中身を見られたらアウトです。

 

例えば、

パスワード付きで圧縮したデータを入れる

暗号化して保存できるUSBを使う

といった対策が必要でしょう。

 

クラウドサービスに関しては、

個人アカウントを使わせない

といったことは意外と大事です。

 

個人アカウントのクラウドを使った場合、

会社の機密情報が個人アカウントを経由することになりますので

使用後に確実に削除したかの確認ができなくなります。

 

会社アカウントを取得して、それを使用させるべきです。

 

 

どのような場所(環境)で使うか?

仕事における情報セキュリティを考える上で、

どんな場所(環境)で情報を扱うのか?

は大事なことです。

 

例えば、コロナ禍で急速に増えた在宅勤務。

 

広い意味でいえば、在宅勤務とは自宅だけではなく

会社外の場所で仕事をする

ということです。

 

1.Wi-Fi

今は、自宅でもWi-Fi環境があったり、外出先でもWi-Fiがある

といったことは珍しくありません。

 

では、そのセキュリティを考えたことがありますか?

 

外出先の無料Wi-Fiはセキュリティ上使わないほうが良い

ということはご存じの方も多いかと。

 

では、自宅のWi-Fiは?

 

外部からWi-Fiが見えなくなるようなステルス機能をONにしていますか?

 

この機能がONになっていないと、例えば隣の家などから

Wi-Fiが拾えることになります。

(確かにパスワードがあれば侵入こそできないかもしれませんが)

 

Wi-Fiを経由してそのパソコンに侵入される危険があるということです。

 

ステルス機能はONにしておきましょう。

 

2.自宅のパソコンのセキュリティ

在宅勤務で使うパソコンが自宅のパソコンだとしたら、

ファイヤーウォールウイルス対策のソフトは入っていますか?

 

確かに、Windows10標準搭載の機能もありますが、

機密情報を扱う以上は対策はしておいたほうが良いかと。。。

 

会社のパソコンは、サーバーの時点でリスクを排除してくれる場合もありますが

自宅ではそうはいきません。

 

自宅パソコンで仕事をする場合は、ファイヤーウォールウイルス対策のソフトを

あらかじめ入れておきましょう。

(改めて購入する場合の費用は会社との交渉をしてもよいかもしれません)

 

3.他の人の目(自宅)

 在宅勤務でパソコンを使う場所に、(例え家族だとしても)自分以外の人間が

パソコンを触ることが出来ませんか?

 

席を外しているときに家族の誰かが画面を見られる状況になっていたりしませんか?

悪意はなくとも、

「ちょっと調べたいことがあって」

という理由で見に行ったHPからウイルス感染という話は実際にあります。

 

そもそも社内ではありえなかった話ですが、自宅で仕事をしていると

つい気が緩む部分があります。

 

席を立つときには画面ロックするといった行動が必要です。

 

4.他の人の目(自宅以外)

 自宅以外だと、

隣や後ろに座っている人から画面を覗き見される

なんてことは簡単にできます。

 

茶店等で作業をする場合には、自分の座る位置にも注意が必要です。

 

あるいは、覗き見防止フィルムを付けることも一つの対策です。

 

 

情報セキュリティは誰が担う?

コロナ対応の中で、突然のリモートワークになった方も多かった2020年。

 

それまでは、情報セキュリティ対策というと

どちらかと言うと企業が担う点が多かったと思います。

 

しかし、リモートワークで従業員が社外で情報を扱うことが多くなり

企業だけが担うだけでは足りなくなりました。

 

リモートワークをする各人が、

・どのような場所(環境)で

・どのようなツールを使って

・どんな情報を

・どのように使ったか

・使い終わった後どうしたか

といった点に主に注目です。

 

これから一つづつ触れていきたいと思います。