「休み時間くらい…自由に使ってもいいじゃないですか!?」
いや、ダメです!絶対ダメ!
就業時間内に業務用に貸与したPCなどを使っての個人的な利用は、その属する組織の就業規程によりですが、原則禁止が多いです。むしろ「やらないほうがいい」と記述すべきとも考えています。
これは自分がある組織で提示した「情報取扱に関するガイドライン」を作成したときに記述した一つの項目なんですけど
「何故業務用の貸与PCを個人利用してはいけないか?」
この素朴な疑問に対する管理側の「思惑」について解説します。これは俗に言うITリテラシーの問題に触れる記事なのでは?と思います。低い高いの問題ではなく、「何故禁止されているか?」という理由を理解するための記事になりますので、ご活用いただければありがたいです。
【関連過去記事は↓こちらから】
個人利用の定義とは?
業務に関係ない利用全般を指します。
簡単に言うと、これです。特に多いのが昼休み中のネットサーフィン、Amazonなどの通販サイトの利用、果てはネット銀行等の残高確認や送金までするユーザーがいます。何気ないこの行動ですが、これは利用者であるユーザーの皆さんの首を絞める結果を招く可能性があり、非常に危険な行為なのです。
そもそも企業側は何故これらを禁止するか?
これは危機管理として「情報資産」を守るために禁止にしています。情報資産とは、主にその組織内の「ヒト、モノ、カネ」に関する情報全般を指し、さらにそれらを管理、運用する際に利用されるすべての取り扱い・保存媒体「PC、スマホ、書類、サーバー、外部ストレージ等」もそれらに含まれています。
この情報資産は内容によって等級化され、その等級によって取り扱い方法の厳重度合を細かく定義するのです。一般的には「一般情報」と「機密情報」に大別し、「機密情報」は「社外秘文書」「秘文書」「極秘文書」などのクラスに分けられます(文言の定義は組織によって変わる場合があります)
「文書」と表記されていますが、現在はデータファイルで管理されることが多いので、その管理運用をしている端末が仮にウィルスに感染したり、盗難紛失などがあったら…事態はかなり深刻な状態になります。特に等級が一番高い「極秘文書」を保管運用する際には「情報取扱責任者」などを設置し、相互監視のもと運用するケースが多いですし、中には外部ネットワーク外のオフライン状態で管理する情報も存在します。
情報漏洩時の責任の所在が個人になった場合
情報漏洩が発生した場合、責任の所在がその当事者に帰属します。そうしますと、この情報漏洩が「属する組織に多大なる社会的損害を生じた場合」、契約規程に従うところはありますが、その属する組織や関連性のある外部ユーザーから訴えられる可能性を秘めています。
いや、自分の端末にはそんな情報ないんで大丈夫ですけど?
確かに極秘文書をオフラインで運用していれば被害はないとは思います。ただ多くの組織がそれらを完璧に遂行しているか?というのは言い切れません。さらに言えば昨今Saasでの運用をしている組織が多いので、オンライン環境がマスト条件になっている可能性のほうが高いと推測します。そうなりますと…共有ネットワーク上で業務を遂行している一般ユーザーが「個人利用」を通してウィルスに感染したり、「盗難紛失」にあったら…組織の情報にアクセスされてしまう可能性があります。
情報漏洩で鬼門になるのは「人」
共有ネットワークやアクセスデバイス(PCやスマホ)でのセキュリティポリシーの定義や設置は比較的容易で、かつ強固に設定できます。Microsoftで言えばAzureADやIntune(Entra)などで厳重にアクセス制限やデバイス管理が出来ます。例えば登録していないデバイスのアクセス禁止させない設定などですね。パスワードが分かったとしても個体識別でアクセスデバイスを認識し、制限することは可能ではあります。
ただここで一番怖いのは「アクセスデバイス」を悪用されてしまった場合は…簡単に侵入されてしまうのです。それらを防ぐために管理側はある程度それらを想定してインフラ環境を構築をします。現状の環境下では以前に増して、アクセスデバイス単体のエンドポイントセキュリティの最低限の担保が必要になりました。有事の際には共有領域から切り離したり…色々な方法論で定義しますが、ここでは詳しく書けませんので割愛させていただきます。
組織の情報だけじゃない…当然、個人情報が漏洩するリスクがある
サイトで通販や送金をしてブラウザなどにパスワードなどを保存させてしまうと…それも抜き取られる可能性があります。個人情報に紐づく情報は原則「個人利用の端末で、かつ決まった端末に絞って利用する」が鉄則です。これが組織所有のPCなどで流出してしまった場合は…個人の損失もそうですが、企業への損失や賠償請求の発生もゼロとは言い切れないと考えます。
ユーザーがすべき唯一の対処法とは?
・組織が定める利用用途を遵守する
・個人情報を安易に記録させない
・移動中の盗難紛失には注意する
これさえ守っていればいいと思います
という…めちゃくちゃシンプルかつ原始的な方法が、実はユーザーが出来る「唯一無二の最善な方法」になります。管理側はリスク管理の範疇で有事に備えます。ですので管理側が最低限守るべきものを示したもの(情報取扱ガイドラインや就業規則など)に従えば、まず問題ないです。
何故そう言い切れるか?それは仮にそのガイドラインや規則などを遵守して利用していて情報漏洩があった場合は、その責任は「提示した組織の管理側にあるから」です。ただしその漏洩について関連性が低いものであっても、他の個人利用などがあった場合は心証を害する可能性がありますので、利用はすぐにやめましょう。特にやりがちなのは個人利用のGoogleアカウントを業務利用です。めちゃくちゃ多く見かけますが…これも個人利用に該当すると自分は考えます。(たまに管理側が推奨してるらしいですが…GoogleWorksとか組織側がユーザーのために用意してくださいって毎回思います)
まとめ
現在の「オンライン環境マスト」な業務形態については、末端端末(ユーザー取扱機器)の取扱いそのものがセキュリティ対策の要になってしまいます。ですので、今一度見直されなくてはいけないのは、ユーザー各個人の「リテラシー」であり、そこには専門性云々ではなく、「モラル」に近い要素を多分に含んでいます。
業務は業務。プライベートはプライベート。
としっかりと区分けしてください。またそれらに纏わるツールは物理的に分けてください。これだけで不要な不祥事や問題がだいぶ軽減されます。
以上、何気ない行動が命取り!情報漏洩防止のトリガーは「人」ですよ!というお話でした。皆様が健全な環境で業務を遂行できますように。
