総務の重要課題、情報漏えい対策のススメ

~ 最後の砦、総務で出来ることは最大限実施するために ~

マイナンバーの管理、顧客情報漏えい、SNSを使った情報漏えい等、企業が保有する情報が一度漏えいすると、企業の存続にかかわる重大事故に繋がります。
それらの重要情報を管理する最後の砦、それが総務部門です。

まずどのような情報があるのかターゲットを定める

そもそも管理する重要情報が特定できなければ対応することができません。
重要情報が存在しないのであれば、管理する必要もないからです。
なんとなく対応しなければいけないと思っているのであれば、まずは見える化が必要です。総務の仕事は全て、見える化から始まります。

見える化の前に、重要情報、厳密に管理が必要な情報の定義が必要となります。
漏えいすることにより、自社に多大な損害が生じる情報の定義です。
社員の個人情報、顧客の情報、設計図面、取引状況をまとめたもの、などなど、自社にどのような情報があるのかイメージします。

重要情報カテゴリーをある程度決めてから、次に各部門へアンケートを行います。
重要情報に該当するだろうと思われる情報が、どこに保管されており、誰がその情報を利用しているのか。
外部の人も含め情報利用者を明確にしてもらいます。

あわせて、その情報が漏えいした場合のリスクを現場の方に記してもらいます。
記してもらうことにより、情報管理の重要性を少し感じてもらうのです。
以上のように、どこに、どのような情報があり、誰がどのように使っているのか、そしてどこに保管しているのか。
そのような重要情報の見える化を行います。

重要情報漏えいの際のリスクを最大限想定する

リスク管理ポイントはリスクを最大限想定することです。
先にあげてもらった重要情報を漏えいした場合のリスクを最大限想定します。最悪の状況も想定します。
それをすることで、逆にリスクの無い情報も明確になってくるはずです。その情報は今回の対象から排除します。

上記により優先順位を付けていきます。その優先順位をもとに現地確認を行います。
実際に情報が存在する現場に出向き、どのように利用されているのかを確認します。
往々にして、日々ルーチン業務として情報を利用している人では気づかない点を見つけに行くのです。

特に重要なのは、誰が利用しているかという点です。
その情報が存在する場所の人だけとは限らないからです。
特に外部の関係者が絡む場合は、あるいは、外に持ち出す場合は要注意です。実際に誰がどのように利用しているのかを確認します。

その際、情報の利用者を狭められないかを検討します。
全てが掲載されている一覧表を共通の書類として利用しているのであれば、場合により、重要情報を省いた形で利用してもらうとか、重要情報があえて必要ない人がいるのであれば、業務フローを見直すこともできるはずです。
とにかく、重要情報の利用者を最低限にしてしまう工夫を検討しましょう。

2014年のセキュリティ10大脅威

(出典)独立行政法人情報処理推進機構(IPA)「2014年 情報セキュリティ10大脅威」を基に総務省作成

保管場所と保管方法の総務的管理

保管場所の確認では、当然ながら物理的にしっかりと管理できるのか確認が必要です。
まずは大きな枠組みから管理します。その建物の入退館の状況確認です。
建物に入管する際の手続き、施錠状況の管理です。休日等の無人状態の際のセキュリティ状況の把握です。

次は、居室内への入室管理の確認です。
特に外部関係者の入室ルールは要確認です。ここがいい加減だと、何が起こってもいたしかたない状況となります。
打合せスペースと執務室との区分けを明確にし、執務室内への入室は制限できるようにします。

最後に保管場所の施錠状況の確認です。
キャビネには入れているものの施錠管理できていない状況であったり、施錠はしているものの日中は開錠していて、さらに外部関係者の出入り自由となると危険です。施錠開錠の運用管理を確認し、手間であってもその都度開錠するようにしたいものです。

また、重要情報が分散しているのであれば、なるべく集約して集中管理しましょう。
重要情報の利用関係者の共通認識として、特定のキャビネで集中管理しておくこととし、何かそこに異変があったらすぐに気づくようにしておきます。

誰が開錠したかの履歴管理も必要となります。
利用頻度が高いと、確かに大変手間となります。誰が利用したかということもさることながら、鍵の紛失防止も必要です。
鍵を紛失してしまうと、盗難にあったのか、室内のどこかに紛れ込んでいるか、どちらの可能性もあり、盗難の場合を想定すると、重要情報の存在確認をしなければならないという大変手間のかかることになるからです。何かあった場合の特定をするためにも鍵管理は徹底したいものです。

書類の整理整頓でリスクそのものを減らす

冒頭、重要書類が存在しなければ、そもそも管理する必要が無いと記しました。
つまりリスクの可能性は減らすことができるわけです。
重要情報が掲載されている同じような書類をたくさん作成し、現物保管したり、共用サーバー上に保管していればそれだけリスクの可能性は高まるのです。
ですので、定期的に重要書類の整理整頓を行い、必要以上に書類を作らない、溜めこまないことです。

過去の履歴が必要という場合もあるでしょうが、それが必要とされる機会はそんなに多くは無いはずです。
そのようなものは倉庫で保管するとか、さらに厳重な管理が可能な場所に移設しておけば良いのです。
最新の、そして利用頻度が高い書類、最新データだけを日常的に管理していくようにしましょう。

出典 : 情報処理推進機構

豊田健一(とよだ・けんいち)
『月刊総務』編集長。早稲田大学政治経済学部卒業。株式会社リクルート、株式会社魚力で総務課長などを経験後、ウィズワークス株式会社入社。現在、日本で唯一の管理部門向け専門誌『月刊総務』の編集長を務めると同時に、一般社団法人ファシリティ・オフィスサービ ス・コンソーシアムの理事や、総務育成大学校の主席講師も務める。

情報漏洩対策にお役立ちの記事はコチラ