学校「家に持ち帰り」、メーカー「システム環境古い」
ステップ1 自社の傾向を踏まえて組織としての方向性を決める
前回お伝えしたように、情報セキュリティ対策で最も大切なことは堅牢性と効率のバランスです。当然、対策を取らなければ大きな損害を被る可能性がありますが、過剰なルールは作業効率の低下を招きます。
そこで、まずは自社の業務内容や組織風土、将来のビジョンなどを踏まえながら、どれくらいの対策を施すのかを考えます。
例えばネット通販などの事業を行う企業であれば、不特定多数のユーザーの個人情報を取り扱ったりネットバンキングとつながったりするため、個人情報の漏えいや消失が最大の脅威となります。であれば、ある程度の作業効率の低下は許容したうえでセキュリティ対策ソフトやアクセス認証を導入し、とにかく情報が漏れないようにする、不正アクセスを防ぐといった対策を選ぶべきです。
一方で、ある程度閉鎖されたシステム内での特定の相手とのやり取りがほとんどであれば、情報漏えいのリスクはそこまで高くはないはずです。ですから、アクセス制限は軽めにして情報提供のスピードを重視することが企業の利益につながります。
抽象的ないい方になりますが、まず「全体的にガチガチに固めたい」「一部分はガッチリ、ほかは緩くてもかまわない」「いまは緩くてもいいが、後々はガッチリさせたい」など、大まかな方向性を考えることが大切です。
では、事業内容に合わせて対策を講じればよいのかといえば、そうとも限りません。企業には組織風土によって独自の基準やルールが存在するためです。多くの個人情報を取り扱う業種の一つに官公庁や自治体などの公共団体がありますが、ここでは紙による情報のやり取りが一般的です。ペーパーレスの動きが進められてはいますが、職員にも利用者にもパソコン操作やタブレット操作に慣れていない人が一定数いるため、いきなり紙を廃止することはむずかしいでしょう。
であれば、セキュリティソフトの導入などデジタル系の対策とともに、書類の取り扱いに関するルールといったアナログ系の対策を進める必要があります。それに加えて、職員の情報セキュリティに対する意識や技術を高めるような教育の場を設けることで、将来の完全ペーパーレスに備えることができます。
一方で、タブレットやクラウドの導入を進めているIT系企業やベンチャー企業であれば、若いスタッフが多く、ある程度の情報セキュリティに対する意識が浸透しているところが多くあります。そういった企業は、最新のセキュリティ対策サービスや作業効率化のアプリを使った対策を積極的に取り入れることで、自社の強みとして打ち出すこともできるでしょう。
情報セキュリティというと、ついパソコンなどコンピュータ上の問題ととらえてしまいがちですが、人間が関わる以上、人の行動も含めた情報の取り扱いを意識しなければなりません。
先に述べた公共団体以外にも、各業界に見られる傾向を以下にまとめたので、参考にしてみてください。
●受託システム開発
社内用パソコンの持ち出しがNGの会社がある一方で、持ち出しに関するルールがまったくない会社もあるという、両極端な業界です。しかし他社のシステムの開発を請け負っている以上、社内用パソコンの持ち出しになんの制約もないというのはたいへん危険です。ルールによって多少業務効率が下がったとしても、取り入れたほうが結果的にリスクは軽減できます。
●映像制作、デザイン
比較的容量の大きなデータを扱うケースが多いため、どうしても外付けのHDDの数が増えてしまいます。なかには年間100個以上のペースで外付けのHDDが増えていくような会社もありますし、古いMOディスクが山積みになっているという会社もあります。映像制作会社やデザイン会社などが情報セキュリティを構築する際には、大量の機密情報を含むこうした記憶媒体をどう扱うかを必ず決めておく必要があります。
●出版、士業
業務で紙を使う頻度が高いので、常にデスクの周りには書類が溢れています。そのため必要な資料がすぐに出てこなかったり、どこかに紛れてしまったりと紛失・盗難のリスクが高くなります。また事務所が1階にある、地下に倉庫があるといった場合は浸水・火災などで情報が水没・消失する恐れもあります。クラウドやチャットなどの機能を使ってペーパーレス化を進めていけば、効率アップと情報セキュリティの強化が見込めます。
●金融
お金を扱う業種では、とにかくルールで縛り過ぎる傾向があります。承認のためのフェーズが多く、各支店でしか対応ができない、あるいは逐一本店の承認がないと動けないなど、一つの業務を遂行するのに時間がかかるケースが多く見られます。この場合、例えば権限をどこまで持たせるかの見直しをすることで、無駄な待ち時間を減らすことができます。上長が確認・承認しなければならない書類を減らす、ある程度は担当者の裁量に任せるといった判断も効果的でしょう。
●クリエイティブ
個人プレイが多いため、「会社」という概念がないところが多く見られます。パソコンやタブレット端末は仕事もプライベートも同じものを利用したり、カフェやファミリーレストラン、出先企業などで業務を行ったりすることも少なくありません。その場合は、一からルールをつくる必要があるのですが、取り扱う情報が多いこともあり、なかなか進まない傾向があります。
気をつけなければいけないのは、こうした特徴は業界内で「当たり前」になっている点です。「出版業界は紙を大量に使って当たり前(だって紙を扱う仕事だから)」「クリエイティブ系は組織に縛られていなくて当たり前(でないとクリエイティビティが発揮できないから)」というわけです。しかし情報漏えいで取引先に迷惑をかければ困るのは自分たちです。「情報漏えいが怖くて、あそこには仕事を任せられない」となれば、クリエイティビティどころではありません。自社の組織風土はこれからの成長に必要なものかどうかを見極めることも大切です。
社歴の長いスタッフから反発が出ることも…
現在多くの中小企業が、すでに情報セキュリティ対策を講じています。そのなかでセキュリティダイエットを進めていくとなると、新規開業する場合を除けば、既存のルールの上に新しいセキュリティルールを構築していくことになります。
そのため、現在の仕組みやルールをどこまで活かすのかを考えなければなりません。よく事業承継後の後継社長から、システムやルールを一新したいという要望をいただきますが、現行ルールで問題なく運用できているのであれば、無理に変える必要はないというのが筆者の意見です。
新たな仕組みで一から始めるのであれば、それなりの準備期間が必要です。想定できるリスクを洗い出したうえで対策を講じなければなりませんし、社員に対する告知や研修も行うべきでしょう。社歴の長いスタッフから反発が出るかもしれません。
筆者は日本の企業には変化を恐れる傾向があると常々感じています。新たな取り組みを行うのであれば、例えば最初は小さな部門から導入し徐々に対象を広げていく、メールやアプリの仕様から見直すなど、段階を踏みながら進めることをおすすめします。
<ポイント1>
情報セキュリティでは業種の特性だけでなく組織風土に合っているかも考えることが大切。
ステップ2以降については、次回詳述します。
幸松 哲也
LRM株式会社 代表取締役 CEO