目次

  1. テレワークでのセキュリティの重要性
    1. テレワークセキュリティとは「情報セキュリティ」
  2. テレワークが抱える情報漏洩リスク
  3. テレワークセキュリティ実現に向けてクリアすべき課題
    1. セキュリティ対策【オンライン×人】
    2. セキュリティ対策【オンライン×システム上】
    3. セキュリティ対策【オフライン×人】
    4. セキュリティ対策【オフライン×システム】
  4. テレワークセキュリティの取り組みの具体例
    1. 横浜を拠点とする情報通信業者(従業員数約30名)の事例

 2020年は新型コロナの影響で、テレワークが急速に普及しましたが、従業員にテレワークを認める態勢が整っていない企業も少なくありませんでした。職場へ出てくることを前提とする一般的な働き方では浮上しにくかったリスクが、テレワークでは問題となりやすくなるため、注意が必要です。

 テレワークを導入する上で、最も大きなリスクは、「情報漏洩」です。

 その中でも、特に企業の外部へ漏らしてはならない情報として、次のようなものが挙げられます。

  • 顧客や見込み客の個人情報(氏名・住所・メールアドレス・購入履歴など)
  • 従業員の社会的差別などに繋がりかねないデリケートな個人情報(病歴・出身地・国籍・信教など)
  • 企業にとっての機密事項(独自の発明など、知的財産権にかかわる情報)

 こうした情報が漏洩すれば、企業の社会的信頼がたちまち失墜し、顧客離れや売上減につながりかねません。顧客の個人情報が大量に流出すれば、ニュースとして報道される場合もあるため、企業の信頼回復がますます難しくなるおそれもあります。

 つまり、テレワークで対策すべきセキュリティとは、企業の情報漏洩を防ぐ「情報セキュリティ」に他なりません。

 従来の働き方であれば、顧客情報や機密事項などの重要なデータを職場から「持ち出させない」、あるいは重要なデータを保存した端末は「インターネットに繋がせない」などの対策を採ることができます。

 ただ、テレワークを従業員に認める場合は、こうした重要データを職場外に持ち出したり、職場外に設置された端末との間で、インターネットを介して送受信したりせざるをえないかもしれません。

 つまり、重要データが外部へ漏洩してしまうリスクに、常にさらされてしまうことになってしまいます。そこで、企業の情報セキュリティを高めるための対策が、テレワークでは特に大切になるのです。

 重要データを扱う上で、職場で気をつけなければならない事項だけでなく、職場外の取り扱いに関してテレワークに特有の注意事項も加わります。

ウイルス対策ソフトの最新バージョンの確認作業

 テレワークの情報セキュリティ種別として、大きく「オンライン対策」と「オフライン対策」の2つに分けることができます。

 テレワークで職場外へ重要データが移動される場面として、インターネットによる送受信だけでなく、メモリに保存したり紙に印刷したりするなどで、物理的に持ち出されることも考えられるからです。

 さらに「人に対する対策」と「システム上の対策」にも分けられます。

 従業員に対して、重要データの取り扱いに関するルールを定めて守らせることを条件に、テレワークを進めていくことも大切な施策です。つまり、テレワークセキュリティは「オンライン×オフライン」「人×システム」で、おおまかに2×2の「4種別」に分類できるといえるのです。

テレワークの情報セキュリティ種別

 以下、種別ごとに説明します。

 インターネット回線を通じて、顧客情報や機密事項などの重要データを扱うときのルールを定め、各従業員に周知徹底しておかなければなりません。

 場合によっては、ルールを就業規則に書き込み、違反した場合のペナルティ(懲戒処分や損害賠償請求など)を明記することもありえます。また、就業規則に書き込むかどうかにかかわらず、ガイドラインを定めておくことも欠かせません。

 具体的な場面ごとに、どのようなかたちで重要データを取り扱うべきか、行動の指針を示すのです。オンラインでの重要データ取り扱いに関するガイドラインの具体例として、次のようなものがありえます。

  • 街中で提供されている無料公衆Wi-Fiを使わない(携帯キャリアなどが提供するWi-Fi、あるいは有線LANを使用する)
  • 端末のパスワードやクラウドストレージサービス(Googleドライブなど)を使う際のパスコードの適切な管理(メモで残さず記憶するなど)
  • クラウドストレージサービスに保存したファイルやフォルダは、社外秘であればセキュリティレベルを引き上げて設定する
  • OSの修正プログラムを常に適用する
  • セキュリティソフトやその定義ファイルを、常に最新のものに更新しておく
  • 怪しいメールの添付ファイルは開かない

 テレワークに限らず、PCを取り扱う際の一般的なルール、ガイドラインも含まれますが、改めて周知徹底することが望ましいです。

 さらに、重要データが漏洩すれば、会社や被害者、漏洩させた本人にどのような影響があるのか、などルールの意味も含めて周知する必要があります。ルールを遵守してもなお、情報漏洩があった場合には、従業員の責任が免除されることなど、ルールに従うメリットを提示することも重要です。

 なぜなら、ルールを定めることで、テレワークのときに重要データを取り扱う際、手間が増えて面倒と感じる従業員がいるからです。ルールを定めるだけでは、一部の従業員が「うっかり忘れていた」「この程度なら大丈夫だとルールを軽視した」などで、そこから情報漏洩が発生してしまうおそれがあります。

 そこで、ルールの意味やメリットをあらかじめ知らせることによって、将来、徐々に遵守が甘くなっていく可能性をあらかじめ食い止めることができます。

 テレワークに従事する各従業員の努力や心がけとは別に、社内のシステム管理者が、重要データを社外の第三者に触れさせないよう、オンラインセキュリティを一元的に管理することも重要です。

 たとえば、次のような施策がありえます。

  • 重要データを暗号化させる
  • 重要データの送受信が必要ない画面共有ソフト(リモートデスクトップ)を導入する
  • VPN(公衆インターネットを使った、企業内限定のネットワーク)を構築する
  • オンライン会議(Zoomなど)に、パスワードを設定する
  • クラウドストレージサービス(Googleドライブなど)を使う際のパスコードを設定する
  • 2段階認証の仕組みを設定する

 テレワークで重要データを社外へ持ち出す場合、インターネット以外のルートで情報が漏れてしまう場合がありえます。

 そこで、次のようなルール・ガイドラインを定めることも必要となります。

  • 端末(PC、タブレット、あるいはUSBメモリなどのストレージ)を無断で外部へ持ち出させない
  • 重要データが保存された端末(あるいは印刷された書類)が第三者に盗まれないよう、移動中は肌身離さずに管理する
  • 端末を盗難、紛失した際は、速やかに責任者に報告する
  • 他人にPCなどの画面をのぞかれないように注意する(できるだけ壁際に座る)
  • Web会議のとき、不用意に大声を出さない
  • システム管理者には、情報セキュリティに関する資格の取得を義務づけ、あるいは推奨する(情報処理安全確保支援士、個人情報保護士など)

 また、こうしたルールを遵守する意味やメリットを、従業員の皆さんへ周知させることは、【オンライン×人】の場合と同様です。

USBメモリを介してウイルス感染するリスクもある

 システム管理者がオフラインでできる情報セキュリティ対策の例は、おもに次の通りです。

  • テレワーク専用端末のセキュリティシステムを常に最新の状態に保っておく
  • テレワーク専用端末を誰が職場外で使用しているか、常に把握する
  • テレワーク専用端末に、オフラインでの情報漏洩を防ぐ対策を講じる(顔認証ログイン、のぞき見ブロッカーなど)
  • ストレージに保存された重要データの暗号化に努める

 テレワーク専用端末を導入すれば、セキュリティの品質は向上しますが、端末購入などの初期コストも増加します。

 そこで、重要データを取り扱わないことが明らかな従業員であれば、各自で私的に所有する端末の使用を認めることで、コストとセキュリティのバランスを取ることができます。

 テレワーク専用端末は、ハードディスクなどのストレージを搭載せず、重要データをオンラインでのみ操作させる「シンクライアント」として導入すると、重要データがダウンロードされる可能性、ひいては情報漏洩のリスクを大幅に下げることができます。

 さいごに、一つ事例を紹介します。

 2005年頃から、人件費削減のため、地方に業務委託の拠点をつくり、遠隔地にいる専門性が高い個人事業主との間で、10年以上にわたってテレワークを推進してきた企業の例です。

 社外の事業者との間で、個人情報を含む情報をやりとりするため、クラウド上であらゆる作業を遂行、完了できるネットワーク環境を自社で整えています。

 また、社内従業員との間でも、育児休暇中や介護休暇中に条件付きで、テレワークを認めてきました。

 こうした古くからのテレワーク施策が、中小企業での雇用を維持し、介護離職を防いできた実績があるのです。