2018年 4月

総務部エリコのひとり言

的確な情報セキュリティ対策で会社を守れ! の巻

エリコが勤める山シロ株式会社で社内PCへのウイルス感染騒動が巻き起こる。幸い、大事には至らなかったが、社内の情報セキュリティ対策の不完全さが浮き彫りに。そこで総務部内に対策チームを結成することになり、エリコが代表者に抜てきされてしまう。ITには明るくないエリコだが、果たしてこのミッションを成功させることができるのか?

我が社の情報セキュリティ対策は本当に万全?

昨晩、部長から緊急の連絡が来て、朝イチで総務部のスタッフミーティングが行われることになった。何でも昨日、ある社員が個人用のUSBメモリーを使用したことが原因で、社内PCにウイルス感染が発生したらしい。

社内PCには一応、アンチウイルスソフトがインストールされている。しかし、ウイルスに感染したPCは主にオフラインで使用するPCだったため、最新版のものにアップデートされていなかった。もともと、うちの会社には専門の情報システム部門がなく、社内のエンジニア数名がネットワーク関係の管理を兼任しているような体制。メインの業務が忙しく、最近チェックが行き届いていなかったみたいだ。

それ以前に、会社のPCに個人のUSBメモリーを使ってしまう社員の危機意識の低さも問題だ。幸いなことに情報漏えいなどの大事には至らずに済んだが、今後また同じような事態が起こらないとも限らない。事態を重く見た総務部長の指令で、総務部内に情報セキュリティ強化の対策チームを結成することになった。

差し当たり、チームの代表者を決めることになったのだが、PCやネットワーク関係の知識に疎い人も多いらしく、みんな積極的に手を挙げたがらない。そんなとき「エリコさん、この中で一番若いからこういう分野は得意なんじゃない?」「確かに、スマホ世代だし」と年長の先輩方から私を推薦する声が。

正直、私も専門的な話は全然分からないんだけど……。助け舟を求めて部長に目線を送ると、こっちを見て笑顔でうなずいている。あれは間違いなく「やってみろ!」という表情だ。もう、こうなったら腹をくくるしかない。いざというときは、きっと部長も助けてくれるはず……!

というわけで「頑張ります!」と引き受けてみたものの、具体的なアイデアが浮かんでくるわけでもない。周囲に助けを求めようにも、知識レベルは似たようなものだし。こうなったら心強い味方、社労士・小岩さんに相談してみよう。

大切な経営資源である「情報」の管理をおろそかにしない

小岩さん
今日は、夕食のお誘いありがとうございます。この居酒屋、珍しいお酒がそろっていると聞いていたので、一度来てみたかったんですよ。
エリコ
ふっふっ、小岩先生が日本酒好きなこと、リサーチ済みですよ。
小岩さん
今日はどういう風の吹き回しかと思いましたが、その様子だと、また厄介ごとに巻き込まれているみたいですね。酒のさかなでよければ、お聞きしますよ。
エリコ
ありがとうございます! 実は今、社内の情報セキュリティ対策を強化する動きがあるのですが、対策チームの代表者に私が抜てきされちゃって。何から手をつけていいか分からなくて、途方に暮れていたんです。
小岩さん
なるほど。ではエリコさん、そもそもの話になるんですけど、企業が「情報」を重視しなければならない理由って一体何だと思います?
エリコ
うーん……、あらためてそう聞かれると考えちゃいますね。
小岩さん
よく言われる「人・モノ・カネ」に加えて、「情報」もまた、企業の成長に欠かすことができない大切な経営資源です。その大事な資源が外部に流出してしまうと、成長はおろか、企業としての信用もガタ落ちしてしまう。たった一回の情報漏えいで、大企業が倒産の危機にだってさらされかねない。そういった例を、ニュースなどで見たことはあるでしょう。
エリコ
確かに、幾つかパッと思いつく事件はありますね。
小岩さん
「情報を守ること」それ自体は、売り上げなど直接的な利益につながるわけではない。だけどそこに力を入れておけば、長い目で見たときに自社を守ったり、企業価値を高めたりすることにもつながる。そこをまずは理解しておくべきですね。アンチウイルスソフトをインストールしているからといって、それだけで安心しているようではダメですよ。
エリコ
うう、耳が痛いお話です。
小岩さん
それを踏まえて、エリコさんの会社でまずやるべきことは「情報セキュリティポリシー」を策定することです。これは一言で言うなら、企業における「情報セキュリティ対策の行動方針」。セキュリティポリシーを一つの規範としつつ、会社全体のセキュリティ意識を高めていく。その後、USBメモリーの取り扱い方など、細かなルールを定めた社内規定を詰めていけばいい。
エリコ
社員一人一人の自覚やリテラシーを高めるために、会社の「こうあるべきだ!」という方針をまず打ち出していくわけですね。
小岩さん
そのとおり。またこの機会に、自社で保有する情報資産の洗い出しを行ってみるのもいいでしょう。顧客情報、製品情報、財務会計情報、従業員の個人情報など、さまざまな情報資産があると思います。
事業部によって扱う情報も異なるので、誰がどのような業務を行っていて、どのような情報を扱っているのか、部署ごとにヒアリングするのです。そこで洗い出した情報を整理し、管理方法などを重要度ごとに分類する。
エリコ
なるほど。
小岩さん
ネットワーク構築などを外部のパートナー会社に委託している場合は、これらの作業を進めるうえで何か協力してもらえそうなことはないか、打診してみるのもアリですね。
とにかく言えるのは、情報セキュリティをおろそかにする企業は、いつか情報に泣くということ。エリコさんも肝に銘じておいてくださいね。

会社全体の情報セキュリティ意識を高めよ!

小岩先生のアドバイスで活路が見えてきた。とにかく私一人で奮闘するのではなく、会社全体の意識を高めていかないといけない。そこでまず部長に直談判して、社長もこの件に一枚かんでもらうことに。社長直々に、セキュリティ対策に力を入れていく力強いメッセージをメールで全社員に送信してもらった。人のやる気をアップさせることにかけては抜群の社長。チーム内の士気もこれで少しは上がったみたいだ。

次に対策チームで、情報セキュリティポリシーの策定に取りかかる。さまざまな企業がサイト上でセキュリティポリシーを公開しているので、それらにも目を通して参考に。策定には社長も積極的に参加してくれたので、チーム内で議論を重ねながら、山シロ独自の情報セキュリティポリシーを練り上げていった。策定したポリシーは自社のホームページに掲載。我が社の情報との向き合い方を、内外に広く周知させていく。

それと並行して、自社で保有している情報資産の洗い出しを行った。事業部ごとに管理している情報を、いったん総務部の下へ集約。重要度ごとに各情報をランク分けし、役員クラスしか閲覧できない資料や、それぞれの事業部単位で管理すべき情報などを精査、アクセス権限の設定や保管場所の整理を行った。

また個人のUSBメモリーの利用を制限したり、業務用ノートPCの社外取り扱い時における注意事項を細かく定めたりするなど、情報セキュリティにまつわる社内規定もあらためて文書化。サーバー構築を担当してくれている外部のパートナー会社に依頼して、社員のリテラシーを高める勉強会も実施した。

こうした取り組みを徹底していく中で、「業務の効率化」という副次的な効果も表れるようになった。情報資産の洗い出しを行ったことをきっかけに、紙文書のデータ化に着手することになったり、それぞれの部署がどのような業務を行っているかが「見える化」されたりして、業務フローの見直しにもつながったみたいだ。

思わぬ効果が生まれたことで社長のリアクションも良く、将来的に情報システム専門の部署を立ち上げることを約束してくれた。まだまだこれからという感じだけど、社員のセキュリティ意識も少しずつ高まってきたのは実感する。小岩さんに言われたように情報管理で「泣く」会社にならないためにも、気を引き締めていこう。

エリコのひとり言

情報管理を粗雑にする会社は、いつか情報で泣く! 的確な情報管理によって企業の価値が高まることもあることを、肝に銘じておこう。