トピックス

労働法の適切な運用を目指し、業績が向上する労務マネジメントを目指す経営者向けのメディア記事です。
企業の業績に貢献する「攻め」のアプローチをします。

× まずは無料で相談!

在宅勤務で個人PCを使用し情報漏洩が!業務で用いるのは会社支給パソコンにすべき

最終更新日:2024.10.24

在宅勤務中、社員個人のPCとネットワーク環境で個人情報が流出!

在宅勤務を導入するにあたり、会社から支給せずに社員個人のPCとネットワーク環境を使用したところ、ウィルス感染により顧客の個人情報が漏洩してしまいました。

 

まずは会社としてセキュリティ管理に問題あり!

このケースでは、3つの問題点があります。
1)会社の業務において、個人所有のPCを使用させる可否
2)在宅勤務他、社外へのデータ持ち出し、社内データへのアクセスへのセキュリティ管理
3)顧客の個人情報の漏洩により生じる不利益

しかし共通して言えることは、会社としてのセキュリティ管理を徹底することです。
トラブルがあった場合の対処方法までを含めた自社のセキュリティルールを決めるとよいでしょう。

1)の個人のPCを利用させる場合には、以下の条件を徹底してもらいます。

①サポートが終了していないOSを使用しない。
②ウィルス対策ソフトを必ず導入させる。
③そのPCを利用するのは本人だけ(家族で使用しない)
④フリーWi-fiは使用しない。これらは、外部からのウィルス対策によるものです。

2)の社内データ持ち出しも重要です。
ニュースで流れる個人情報の流出は、データを入れたメモリの紛失・盗難も非常に多いのです。
総務省が公開している「テレワークセキュリティガイドライン」が参考となります。

(一社)日本テレワーク協会も「テレワーク導入ガイドライン」を公開し、テレワーク導入から活用までの一連のガイドラインの他、テレワーク導入におすすめのテレワーク製品も紹介しています。

3)の顧客の個人情報漏洩による不利益については、まず従業員の情報セキュリティに対する意識を高めてください
その上でテレワーク時の情報漏洩リスクを含めた秘密保持に関する誓約書を作成し提出を求めます。

IT技術の進化は目まぐるしく、セキュリティに関する情報のアップデートも心掛けてください。

 

自社だけでなく協力会社にも損益を与える可能性が。会社支給PCの検討を

2022年3月に某大手自動車メーカーの取引先企業がサイバー攻撃に遭い、大手自動車メーカー本体の全工場が操業停止に追い込まれました。
協力会社のトラブルが親会社に甚大な影響を与えた事件として、大きなニュースとなりました。

このようにセキュリティホールは自社だけの影響にとどまらず、取引先にも影響を及ぼします。

テレワークのセキュリティについては、IPA情報処理推進機構が「テレワークを行う際のセキュリティ上の注意事項」を公開しており、IPAが運営する情報セキュリティポータルサイト「特集 テレワークのセキュリティ」にもまとめられており、参考となります。

また、社員へのPC支給については、個人の持ち物を使用して会社業務を行っている中での問題(機器の故障やその修理費用などの費用面も含め)が起きやすいため、支給を検討することをお勧めします。

 

情報セキュリティ対策は、経営者・マネジメントが進める重大案件

今後はどのような産業であっても、IT技術が導入されるようになり、情報セキュリティ対策とこれに対する知識や認識が求められます。

情報セキュリティ対策を怠って、取引先や顧客から損害賠償請求を受けることからの金銭の損失、管理責任と社会的評価の低下からの顧客の喪失、刑事罰責任を問われるなど、企業が被る不利益は甚大です。

よって情報セキュリティ対策は、経営者・マネジメントのリーダーシップをもって進めます。
情報セキュリティ対策は、会社の規模や事業に見合った規模で経営者が判断して行います。

費用対効果が見合わないから予算を取らずに対策しないのではなく、会社の取り扱う情報、範囲、損害を受けるリスクを抽出し、見合った対策法を取ります。

IPA情報処理推進機構では、「中小企業の情報セキュリティ対策ガイドライン」を公開しており、テレワークの他、クラウドサービス安全利用の手引きや情報セキュリティ管理規定のサンプルも含まれています。情報セキュリティ自社診断もあるので、自社の対策がどれぐらいできているか実施状況の判断にも役立ちます。

総務省はより専門的な「テレワークセキュリティガイドライン」を公開しています。

 

会社の規模に関係なく、従業員へ定期的なセキュリティ教育を

重複しますが、PCやネットワークなどの情報セキュリティ対策ができたから情報セキュリティ対応は終わりではありません。
従業員へのセキュリティ教育が重要です。

1回実施したからそれで完了ではなく、少なくても年1回は定期的に実施します。
その時には同じ内容で実施するのではなく、情報の最新化も必要です。

IPA情報処理推進機構では、情報セキュリティ教育関連コンテンツも公開しています。
情報セキュリティは、会社の規模に関係なく必要なITリテラシーです。

社員数が少ない場合には、スペシャリストのIT担当者・情報セキュリティ担当者を任命することは難しいと思いますが、PCやネットやゲームが得意な社員がいる場合は知識の親和性が高いので、覚えてもらうとよいかと思います。

 

ITリテラシーの観点から見る、人材マネジメントのポイント

情報漏洩については、その管理も勿論ですが、従業員のモラル等も重要になってきます。
人材マネジメントにおいては、そのモラルをどう形成するかだと思います。

そのためのマネジメントは、個人の特性や会社・業務に対する志向と、会社が与えるものとのギャップを埋めていくことだと考えられます。
個人の特性としては、具体的には行動特性が挙げられます。

この個人の行動特性と現在の業務において求める行動特性とのギャップが高い場合にはもしかするとその仕事に向いていない場合があります。
会社・業務に対して、取り組み姿勢が高いのか、それとも単に生活のためだけでに働いているのかをという本人の志向性も重要になってきます。

また、等級制度の適切な構築が必要になります。

本来、管理監督者でないものを無理矢理、管理者として認定しようとする傾向がまだ残っていますが、等級制度の構造が年功的になってしまうリスクは勿論、場合によっては、すべての管理者要件が否認されてしまう可能性があります。

 

労働環境の改善で、業績が伸びる職場をつくる。社員のトラブルのお悩みなら、まずはご相談ください!

関連記事