新入社員を情報漏えいリスクから守る

会社で仕事をするなかでは、社外の人や部外者には絶対に口外したり、見られたりしてはならない情報を扱うことが多くあります。

企業人として一定の経験を持つ方は、自社にとってどの情報が大切で守るべきものなのか、あるいは、どういった情報が社外秘／関係者外秘にあたるのかを即座に判断し、適切に扱う能力を身につけていきます。ところが、社会人一年目の新入社員の方はそうではありません。情報の取扱いに関するルールをしっかりと教えてもらわなければ、業務のなかで、どの情報をどう扱うのが適切かの判断がつかないことが間々あるはずです。

一方で、今日の若い世代の方は、大多数がスマートフォンなどを日常的に活用し、SNSなり、チャットやブログなりを通じて、情報を広く発信したり、友人・知人と共有したりすることに慣れてもいます。そうした世代の新入社員の方が、会社や仕事の情報を適切に、かつ安全に扱うためのルールを知らないでいると、本来的には社外秘／関係者外秘にすべき情報をSNSで拡散してしまうなどの恐れがあります。万が一、そのリスクが現実のものとなった場合には、会社は、社会的な信頼・信用の低下というダメージを被ることになります。

そのようなリスクを低減させるためには、新入社員の方に情報の扱い方に関するルールを学んでもらい、業務のなかで、仕事の情報やスマートフォンをどのように扱うのが適切かを理解してもらうことが大切です。以下では、そうした教育を行う際に、新入社員の方に伝えておいた方がよいと思われるポイントを5つご紹介します。

以下でご紹介する5つのポイントは、仕事でスマートフォンを使ううえでの基本的な情報セキュリティルールといえるものです。

情報セキュリティに関する方針は、会社ごとにさまざまに異なりますので、下記にご紹介するポイントがすべての会社にあてはまるとはいえません。ただし、以下のポイントをおさえたうえでスマートフォンを扱うよう、新入社員の方にお伝えいただければ、情報セキュリティ上のリスクを低減させることができるはずです。

先にも触れたとおり、会社の従業員として一定の経験を持つ方は、仕事で知りえた情報のどれが社外秘／関係者外秘で、部外者には絶対に漏らしてはならないかを正しく判断することができるようになります。ただし、業務経験の浅い新入社員の方が、そうした判断を常に適切に行えるとはかぎりません。従って、業務で扱う情報は、その内容が何であれ、基本的にすべてが社外秘／関係者外秘であるという認識を持ってもらうことが大切といえます。

たとえば、ミーティングのなかでふと知った取引先の動向。自社にとってはあまり意味をなさない情報だとしても、取引先の競合に渡ったら致命的な情報になる可能性があります。従って、それが公開情報でないかぎり、関係者以外には漏らしてはなりません。

ところが、仕事で知りえた情報は基本的に社外秘／関係者外秘という認識がなければ、ミーティング中に知った取引先の動向を、「面白いので、知人や友人と共有したい」と、SNSに投稿してしまう可能性があります。それによって情報が拡散し、取引先が不利益を被った場合、取引停止や訴訟問題に発展することさえありえます。

出張時における新入社員の方の情報の扱いを例に挙げてみましょう。

会社の出張で普段は訪れない地域に行くと、写真とともに「出張で○○市に来ています！」といった投稿を、SNSにしたくなるかもしれません。ただし、ときには、自社と訪問先との商談について訪問先が外部に知られたくなかったりする場合があります。そのような場合には、上のような投稿は控えた方が無難といえますが、新入社員の方は、まだ、そうしたビジネス感覚を身につけていない可能性があります。従って、「今回の出張は関係者外秘なので、部外者には、自分の居場所を知られないように」といった注意を促しておく必要があるでしょう。

会議で使ったホワイトボードやちょっとした行動記録を、スマートフォンのカメラ（以下、スマホカメラ）を使って撮影し、メモ代わりに使う方が増えています。

このようなスマホカメラの使い方は決して間違いではなく、逆に、スマートフォンを仕事の効率化に活かす有効な手だてといえます。ただし、留意すべきは、会議でのホワイトボードの記載内容や、仕事での日々の行動記録は、多くの部分が、社外秘／関係者外秘の情報であるということです。

ですから、たとえば、顧客や取引先との会議で使ったホワイトボードをスマホカメラで撮影する際には、撮像の使用目的を明らかにしたうえで、撮影の許可をとるようにすることが大切で、それがビジネスマナーです。一定の業務経験を積んだ方は、そのマナーをご存知ですが、新入社員の方はそれを知らない可能性があります。従って、事前に注意を喚起しておいた方が無難といえます。

また、社内でのスマホカメラの撮像が、機密情報の漏えいにつながる可能性もあります。起こりうるケースとして考えられるのは、社内での同僚たちの働きぶりや、自分の職場の雰囲気を記録しようと撮影した画像に、パソコン画面や重要資料、工場内の作業の様子、開発中の商品などの機密情報が写り込んでしまうことです。このような画像を、不用意にSNSに投稿すると、機密情報の漏えいにつながる可能性があります。特に、最近のスマホカメラは画素数が上がり、小さく写り込んだだけでも、拡大すれば鮮明に見えてしまうので注意が必要です。

こうしたリスクを避けるためにも、新入社員の方には、スマホカメラで社内を撮影するときには、必ず周囲の人や、その場の責任者に写真撮影の許可をえるよう伝えておくべきではないでしょうか。

これは、新入社員であるかどうかにかかわらず、業務で使うITツールのアカウント登録時に、個人的に使っているアカウントをそのまま使ってしまう方がいるようです。また、アカウントごとに必要になるIDやパスワードとして、個人的に使用しているIDやパスワードをそのまま使い回している方がいるかもしれません。IDやパスワードの使い回しは情報セキュリティの対策上、避けた方がよいでしょう。

ID、パスワードはサイバー犯罪の標的として窃取のリスクに絶えずさらされています。そのため、使い回している個人的なID、パスワードがサイバー犯罪者の手にわたる可能性は常にあり、万が一、そのような事態に陥れば、サイバー犯罪者に会社の情報システムにまで侵入され、顧客情報や取引情報、社員の個人情報といった大切な情報が盗まれてしまうリスクが高まります。

また、正規のID、パスワードを使った侵入は、それが犯罪者によるものかどうかの判別が即座にできないことがあり、気づかぬうちに多くの情報が窃取されてしまうリスクもあります。仮にそうなれば、会社が多大な損失を被るばかりか、ID、パスワードを盗まれた個人も責任を問われることがありえます。そのリスクを低減させるためにも、新入社員を含む全従業員の方に対して、IDやパスワードはツールごとに変えるよう促すことが大切です。

よく知らない相手からの不審なメールや心当たりのない添付ファイル付のメール、さらには、さまざまな謳い文句でURLをクリックさせようとするメール――。こうしたメールをきっかけに、サイバー犯罪者のワナにかかり、自分のパソコンやスマートフォンがウイルスに感染したり、遠隔から不正に操作されたりする恐れがあります。少しでも、「怪しいな」「おかしいな」と思うメールが届いたら、絶対に開かず、上司に一報を入れることをルール化しておくことが大切です。

会社支給のスマートフォンについては、会社が指定した以外のアプリを入れたり、業務とは関係のないWebサイトにアクセスしたりするのを避けた方が無難です。

というのも、アプリやWebサイトのなかには、ウイルスに感染させることを目的にしたものがあるからです。このようなサイトにアクセスしたり、アプリをスマートフォンに入れたりすることでウイルスに感染してしまい、スマートフォン内に保管してある会社の情報や社員・取引先・顧客の個人情報などが盗まれてしまう恐れがあります。

ご紹介しました5つのポイントを新入社員の方に伝え、注意を喚起しても、「うっかりウイルス付のメールを開いてしまった」といったミスは起こりえます。そうしたミスの発生確率を低減させるには相応の対策が必要とされます。以下では、そうした対策をご紹介します。

今日では、若い世代の大多数の方が、スマートフォンを個人でお使いです。ただし、そうした私用のスマートフォンを、会社の業務に使わせるのは、情報セキュリティの観点からいっておすすめできません。

というのも、私用のスマートフォンの場合、たとえ、情報セキュリティ上の必要施策であったとしても、使うアプリやスマートフォンの機能、閲覧するWebサイトに制限をかけることがむずかしく、それを行おうとするとスマートフォンの所有者である従業員の方から抵抗を受ける可能性が大きいからです。また、私用のスマートフォンは、休日のレジャーやお酒を飲む席などでも使用されるため、紛失や盗難の可能性も上がるといえます。

それに対し、仕事で使うスマートフォンをすべて会社で支給するようにすれば、使用するアプリやスマートフォンの機能、閲覧するWebサイトなどに制限をかけても、従業員から不満が出る心配はまずないはずです。そのため、会社の方針に沿ったセキュリティ対策を一律で講じ、業務で使うスマートフォン全台の情報セキュリティレベルを一定に、かつ高く保つことが容易になるのです。

近年のサイバー攻撃は手口が巧妙で、警戒していても、うっかり攻撃者のワナにかかり、ウイルス感染などの実害を被ることがあります。そうした事態に備える一手は、会社支給のスマートフォンにウイルス対策ソフトを導入することです。これにより、ウイルスや不正アプリなどからスマートフォンを防御することが可能になるほか、Wi-Fiの安全チェックなども行えるようになります。

スマートフォンの紛失や盗難は、社内でいくら注意を喚起しても、その発生確率を“ゼロ”にするのはむずかしいことです。そのため、ドコモのスマートフォンを一括導入し、従業員の方に支給しているお客さまの多くが、紛失・盗難への備えとして「MDM（Mobile Device Management：モバイルデバイス管理）」サービスの「あんしんマネージャー」を活用しています。このサービスを使うことで、スマートフォンの紛失・盗難時の遠隔ロックや初期化が可能になります。

会社支給のスマートフォンのアプリや機能、閲覧するWebサイトに制限をかけるという対策は、「ルールを決めて、それを従業員に守ってもらう」というヒトに頼った運用ではなく、システム的に制限をかけた方が安全で、間違いが少なくなります。

たとえば、前出の「あんしんマネージャー」では、スマートフォンの遠隔ロックや初期化のほかに、スマホカメラなどの機能制御や業務に不要なアプリの制限、利用状況の監視などを可能にしています。また、「i-FILTERブラウザー＆クラウド」と呼ばれるソフトウェアを使うことで、情報の窃取を目的にした悪質なWebサイトへのアクセスを防止することができます。

社会人一年目の新入社員の方は、スマートフォンの扱いには慣れていても、仕事でスマートフォンを使うことに慣れているわけではなく、情報セキュリティの観点から、業務の情報をどう扱うのが適切かについても、わからないことが多くあるはずです。そうした新入社員の方を、情報漏えいのリスクから守るためには、教育とシステムの両面での対策が必要といえるのではないでしょうか。