「原則禁止」は事故のもと～あなたの職場のセキュリティ対策は大丈夫？

過ぎたるセキュリティは及ばざるがごとし

　近年、ノートPCの"ノート"という部分が意味を成さなくなった職場が激増しています。持ち運び可能な形態のハズなのに、まさにその点がセキュリティネックと見なされて、今ではチェーンで机に繋がれた半デスクトップに成り下がっているのです。

　PCを持ち出せなくなった結果、家に仕事を持ち帰るという悪い習慣は減りましたが、その分会社にいる時間が増えた人も多いのではないでしょうか。とはいっても、残業を毎日繰り返していればお上の指導を喰らいますから、会社で仕事をする時間にも限界があります。

　結果として、資料を印刷したり、USBメモリにデータをコピーして持ち帰るケースが多発するようになりました。企業としては情報漏えいのリスクは避けたいのですが、印刷やUSBメモリを禁止すると本業に悪影響をきたしてしまいます。事実、作業者間のデータの受け渡しをイントラネットに限定した結果、業務の効率が悪化してしまったという話も枚挙に暇がありません。

現場に抜け道ができていませんか？

　現在のようにセキュリティが厳しくなった背景には、2006年6月に国会で成立した日本版SOX法「金融商品取引法」と、2003年5月に成立した「個人情報保護法」などがあります。ここでは詳しく述べませんが、「個人情報や業務データなどの漏洩が起きないようにしてね」という制約が生じているのです。

　情報漏えいのリスクという点で見ればそれまでの仕事のやり方は問題だらけでしたから、情報の入出力や使い方などを細かくチェックするための新たな仕組みを導入することになりました。ただし、その過程でセキュリティ向上のためのステップを上手く踏めなかった企業も少なくありません。

　情報漏えいを防ごうと思えば、業務のやり方を変更したり、効率性の低下に目をつむる必要があります。彼らの現状を把握しないまま施策を実施した結果、上司が承認した場合に限ってUSBメモリの使用を許可するといった例外運用が常態化し、内部統制の思想を根本的に無視したローカルルールがまかり通ってしまった企業は少なくないと思われます。

　もちろんセキュリティ対策は重要ですが、むやみやたらと導入すれば良いというものでもありません。厳密なルールを上から強制したところで、それが現場の意識にあっていなければ冒頭のような抜け道が生まれてしまうからです。