調査によると、企業は従業員に機密情報を共有する傾向があるだけでなく、データセキュリティーの手順が定まっていない、またはそれを考慮せずに情報を共有していることが明らかになった。これらの結果は、従業員が職務における生産性と効率性を維持しながら企業データのセキュリティーを確保するという、相反する2つの義務の板挟みになっていることを示している。企業がデータセキュリティーの問題に対処するためには、従業員の生産性を妨げることなく常にデータを保護するように従業員を教育し、適切なポリシーと手順を適用することに重点を置く必要がある。
従業員は機密情報を共有する傾向がある
調査結果は、日常的に機密情報を扱う専門家による機密情報の共有方法とデータセキュリティー・ポリシーに対する理解が不足していることを示している。この不明瞭さには、メリットがないわけでもない。多くの状況において、ビジネスの推進のために機密情報を共有することには意味がある。
・4人中3人の従業員は、特定の状況において機密性の高い、または規制された企業の情報を共有すると回答した。主な回答の内訳は次のとおり。
- 共有するよう上司に指示された(43%)
- 情報を知る権限を持つ人との間で共有した(37%)
- 企業に対するリスクは極めて低く、情報共有による潜在的メリットは大きいと判断した(23%)
- 共有することで業務をより効果的に遂行できると考えた(22%)
- 共有することで情報を伝えた相手が業務をより効果的に遂行できると考えた(13%)
・情報を共有すると回答した従業員は、金融サービスではおよそ5人中4人(81%)だったが、機密性の高い、または規制されたデータを開示すると回答した従業員の割合は、教育(75%)、医療(68%)、連邦政府機関(68%)の分野で高くなっている。
デルのエンドポイントデータセキュリティーおよびマネージメント担当バイスプレジデントであるブレット・ハンセン氏は、「各従業員が状況に応じてセキュリティーに関する判断を行っている場合、一貫性や有効性を望むことはできません。調査結果が示唆しているのは、企業はデータセキュリティーのベストプラクティスに関する従業員教育を徹底し、生産性を維持しながらデータの保護を最優先させることに重点を置いた手順を定める必要があるということです」と述べている。
職場で一般的となっているリスクのある行動
今回の調査により、従業員が機密データを扱う際にデータのアクセス、共有、保存をリスクのある方法で行うことは珍しくないことが明らかになった。その理由について、回答者の24%は業務の遂行のためであったこと、18%は危険なことを行っていることを認識していなかったことを挙げている。リスクのある行動をとる際に自分に悪意があったという回答は、3%にとどまった。
・45%の従業員は、業務時間内にリスクのある行動をとることを認めている。
・これには、公衆無線LANによる機密情報へのアクセス(46%)、個人メールアカウントの業務利用(49%)、企業から支給されたデバイスの紛失(17%)が含まれる。
・3人中1人以上の従業員(35%)は、企業の情報を所持したまま退社することが一般的であると回答している。
・従業員は、各自の作業内容を保存、共有する際にも不要なリスクを負っている。作業内容の共有やバックアップのため、56%はDropbox、Google Drive、iCloudなどのクラウドサービスを利用していると回答している。
・回答者の45%の従業員は、取引先またはコンサルタントとの間での機密ファイルの共有に電子メールを利用している。
従業員は情報保護をサポートするが、十分な権限があるとは考えていない
調査結果によると、従業員は企業がデータ侵害の被害に遭わないよう職場でのサイバーセキュリティーに取り組んでいる一方、セキュリティープログラムがもたらす日常業務と生産性に対する制約を課されている。
・3人中2人近くの従業員(65%)は、潜在的リスクの学習や企業を保護するような行動を含め、機密情報の保護に責任を感じていると回答している。
・36%の従業員は、企業の機密情報を保護する方法に関する知識に自信を持っていると回答している。
・21%はセキュリティーガイドラインとポリシーの変更についていくことが困難であると感じ、22%は誤った行動によっていずれ企業に損害を与えてしまうのではないかと不安に感じると回答している。
・3人中2人近く(63%)の従業員は機密データの保護に関するサイバーセキュリティー・トレーニングを受ける必要があると回答した。ただし、トレーニングを受けた従業員の18%は、自覚のないままにリスクのある行動をとっており、24%は業務完了のためにリスクのある行動をとっていると回答している。
ブレット・ハンセン氏は、「セキュリティーニーズは企業ごとに異なりますが、今回の調査結果は、従業員がリスクのある方法でデータを共有してしまいがちな日常業務やシナリオに関する理解を深められるように努力することが企業にとって重要であることを示しています。データの保護と従業員の生産性のバランスを実現するには、エンドポイントおよびデータのセキュリティーソリューションの導入に加え、一般的なシナリオに対応したシンプルで明確なポリシーを策定することが重要です」と述べている。