セキュリティの
学び場

今回の解説ニュース

個人情報が適切な処理をされないまま、ごみとして捨てられていたということです。紙などの物理的な情報資産のセキュリティ対策で気を付けるべきポイントについて説明します。

今回のインシデントは、職員が公文書を含む書類を自宅に持ち帰り、一般ごみとして自宅近くの集積場所に捨てられたことで発生しました。収集業者が回収できるごみであるかを確認したところ、市に関係する書類が入っていたため、市に報告したということです。通常、個人情報などは1年間施設で管理した後、毎年5月に回収して溶解処分をしています。

再発防止策として、公文書の適正管理や個人情報保護の重要性や取扱いについて、当該センターを含め、本市が所管している全児童厚生施設に対して情報を共有し、改めて意識付けを徹底するということです。

良かれの心がもたらす？シャドーITが抱える問題との共通点

今回は紙の個人情報で発生したインシデントですが、シャドーITが抱える問題との共通点について説明します。

シャドーITとは、組織の管理者が把握せず、従業員の判断で使われているデバイスやサービスです。在宅勤務やリモートワークで個人のスマートフォンが手元にあったり、気軽に使い始められるクラウドサービスが多くあったり、現在はシャドーITが発生しやすい状況にあります。

シャドーITを使っている本人に罪悪感がないことがよく見られます。理由は、あくまでも業務を効率化するために使いやすいデバイスやサービスを選択している事が多いからです。よって、規制をすれば従業員の反発を招いたり、シャドーITがさらに増える結果を招いたりすることもあります。

今回のインシデントでも、従業員が公文書を自宅に持ち帰ったことはルール違反ですが、たまった業務を自宅で引き続き行おうとしたことも考えられます。その結果、通常であれば回収して溶解するなど、個人情報が破棄される際は適切な処理がなされるところを、自宅にはシュレッダーなどもないことがあり、結果として個人情報がそのままごみとして廃棄されたことが考えられます。

もちろん、正当化できる余地はありませんが、個人情報の取り扱いだけではなく、業務を家に持ち帰らないといけない状況を生んでいる構造上の問題も考えられます。

「陰」が生まれやすい在宅勤務に「光」をあてる対策は

今回のインシデントにも照らし合わせて、利用者に寄り添ったシャドーITの対策としては、従業員の現状把握、代替案の提供、ガイドラインの策定が挙げられます。

シャドーITを利用するに至った背景の把握

まず、従業員が使用しているデバイスやサービスを把握し、シャドーITが存在していたら、なぜ利用しているかをヒアリングします。先ほどご説明した通り、必ずしも従業員が悪意を持ってシャドーITを使っているわけではないので、なぜシャドーITを利用するに至ったかの背景を正しく理解することが必要です。シャドーITの利用状況を可視化するためには、以前紹介したCASBなどを活用することが有効です。

組織として認められたサービスの導入を

従業員の要望など、背景を正しく理解した上で、組織からシャドーITの代替となるデバイスやサービスを提供します。ファイルを共有したいのであれば、オンラインストレージが必要ですし、在宅勤務で手軽にコミュニケーションを取りたいのであれば、チャットサービスが必要です。シャドーITを使わなくても日々の業務が効率化できるように、組織として認められたデバイスやサービスの導入を検討しましょう。

従業員が正しく理解し実行できるための教育も

最後に、人への対策で、ガイドラインの策定と教育が挙げられます。せっかく組織が用意したデバイスやサービスがあっても、従業員が知らなければ意味がありません。ITの利用に関するガイドラインや、違反したときの罰則なども併せてルール化することによって、従業員が正しく理解して実行できるように教育することも必要です。理解度を図るためにeラーニングでテストを実施する組織も増えてきました。

不本意なインシデントで不幸になる人を生まないように、適切なセキュリティ対策で大切な従業員を守りましょう。