はい、どうもこんにちは、七堂です。
うちの会社はISMSをやっているんですよ!
なにそれって、セキュリティが国際規格を守っているってことです。そこで、新人さんとのやり取りで困ったことがあったのですよね。
セキュリティを重視すると、不自由が生じる問題が!
セキュリティを強化すると不自由になっていく
情報資産とは、会社が保持するデータ全てです。顧客情報、従業員情報、ソースコードに至るまですべて。
これらが流出してしまうと、社会的信用を大きく失います。最近の出来事ですと、セブン&アイホールディングスのオムニ7でしょうか? ソースコードが流出したことにより、不正利用を許してしまいました。
社員の名前一つをとってもそうです。社員の名前を使って、「社内データを転送してくれ!」ってメールが飛んできたら?引っかかる確率はかなり高くなるのではないでしょうか?
そこで、重要になってくるのが、セキュリティの管理です。
セキュリティには機密性、完全性、可用性の3つの要素があります。 中でも機密性は、アクセスを許可されたものが、情報資産にふれることができるというセキュリティ意識の肝の部分です。
さて、この機密性を重視するとどうなるか?
ソースコードは関係者以外の目に触れることがないように、会社の外に持ち出すことができません。となると、持ち帰り残業ができなくなります。
あ、これは良いことですね。コンプライアンス遵守の考え方ともマッチしますし……。
他には、会社で知り得た情報をみだりに他者に話すことができなくなります。子供に自分の仕事内容を話せないって、つまらなくないですか?
あとは、会社の社員証をぶら下げたまま、外出することもできなくなりますし、会社のPCに好きなソフトウェアを入れることもできなくなりますし。
今はいろいろな業務効率化アプリができているのに、お試しでインストールできないのはデメリットです。
新人が貸与物のPCを持って帰って良いのか問題
さて、今回判断に迷ったのは、新人がPCを持って帰っても良いかどうかの問題です。
新人さんは社外研修として、教育会社のPCを借りてプログラミングの研修を行っています。その教育会社のPCにはプログラミング学習のテキストが入っており、新人さんはそのテキストを用いて学習をしています。
教育会社の方針は、貸しているPCは自宅に持っていってよく、自学自習をしてほしいとのことでした。
困ったことに、自社のネットワーク回線はそのまま外部のネットにつながることはなく、イントラを経由します。
となると……自社の情報資産にアクセスできてしまうのですよね……。
セキュリティ管理の視点では、自宅に持ち帰ることができません。セキュリティを強化したことにより、自宅での勉強ができない制限がかかってしまったのです。
今回は、新人だし、会社の情報資産にアクセスすることはないでしょう! ってことで、特例として、許可を出しました。
それに、持ち帰りを許可しないとなると、会社で残業扱いで自習するしかなくなっていくため、会社としてのコストも跳ね上がってしまいます。
セキュリティと自由の天秤の中で
セキュリティを強化すると、行動に不自由が生じます。それは致し方のないことです。
さらに、管理する人数が増えてくると、更に不自由を多くして、セキュリティを強化しないといけません。個人の判断に任せるのが難しくなっていきますから。
例えば、インターネットにつながらない環境にする、監視カメラで不正を検知する等。
でも、それだけでは仕事の効率は上がらないと思うのですよね。セキュリティ意識を持つことは、社会の規範としては正しい姿なのでしょう。
でも、ほんとにそれで良いの? って思うのです。 仕事の効率を下げるセキュリティは害悪でしかないんだよなぁ……。