昨今、“ABW”という働き方に注目が集まっています。ABWとは“Activity Based Working”の略称で、その日の仕事内容や気分に応じて自由に働く場所を選べる働き方を指します。いつものオフィスの座席だけでなく、たとえば自宅やサテライトオフィスなどの働く場所も自由に選ぶことができるという働き方です。
ABWでは、普段のオフィス以外の場所で働くこととなるため、情報もまた外部に持ち出されることとなり、情報漏洩のリスクが高まります。本稿ではABWを導入した際、起こりうる情報セキュリティリスクや対策について解説します。
目次
複数の場所で業務をすると起こりうる危険
普段のオフィス以外の複数の場所で業務をする場合、以下のような危険があります。
① 第三者による画面の閲覧
まず典型的なリスクとしては、カフェなどの公共空間を利用して仕事をする場合、第三者が画面をのぞき見し、情報が漏洩する可能性があります。
② 公衆無線LAN利用の際の情報窃取
普段のオフィス以外の場所で仕事をする場合、公衆無線LANを利用することがありますが、こうした公衆無線LANの利用者の情報を盗み取るネットワーク攻撃もあります。
③ USBメモリ/SDカードなどの外部メモリの紛失
昨今ではクラウドサービスを利用している例も多いと思われますが、そうしたサービスを利用していない場合には、外部メモリに仕事に必要な情報を保存し、持ち歩くことが多いです。そうした場合、当該の外部メモリを紛失してしまうリスクがあります。実際、2020年6月には、ある教育機関で児童や関係者延べ3,000人以上の氏名、住所、電話番号などを含む個人情報を記録した外部メモリを紛失する事故が発生しています。
上記は情報漏洩が起こりうる例の一部であり、上記以外にもマルウエア感染など、さまざまな危険があり得ます。
情報漏洩が発生することに伴う3つのリスク
上記のような情報漏洩が発生してしまうと、企業には以下のようなリスクがあります。
① 取引先からの損害賠償請求
漏洩してしまった情報が取引先の機密情報であり、漏洩によって当該取引先に損害が生じた場合には、当該取引先から損害賠償請求がなされる可能性があります。たとえば外部メモリ一つを紛失したという小さなミスによって、極めて重要な情報が漏洩してしまい、その損害が多額にのぼる可能性があります。
② 取引先からの信頼失墜
上記①とも関係しますが、当然ながら取引先の機密情報を漏えいさせてしまった場合には、当該取引先からの信用失墜は避けられないでしょう。そうした場合、当該取引先との今後の取引も停止されることとなる可能性が高いです。
大阪商工会議所が実施した「サプライチェーンにおける取引先のサイバーセキュリティ対策等に関する調査」(令和元年5月10日)によれば、「取引先がもしサイバー攻撃を受け、その被害が自社にも及んだ場合、採り得る対処」として、「損害賠償請求」(47%)や「取引停止」(29%)が挙げられています。
【参考】サプライチェーンにおける取引先のサイバーセキュリティ対策等に関する調査 / 大阪商工会議所
③ レピュテーション(評判)の低下
とくに個人情報の漏えいの場合には、ニュースなどで報じられることが多いです。そうなると、自社から個人情報が漏洩してしまった事実が全国に知れ渡ることとなり、社会的な信頼を失ってしまうでしょう。採用活動への影響や社員の会社に対する信頼低下も避けられません。
情報漏洩を防ぐためにできること
ABWによる情報漏洩のリスクを防ぐために参考となるのは、総務省が作成している「テレワークセキュリティガイドライン(第5版)」(令和3年5月)です。ABWによる情報漏洩を防ぐための基本的な考え方は、“ルール・人・技術”のバランスの取れた対策を講じるということになります。いかに厳格なルールが作成されていても、実際に従業員がそれを理解し遵守しなければ意味がありませんので、これらの3要素すべてをバランスよく講じることが重要になります。
【テレワークセキュリティガイドラインの参考】テレワークセキュリティガイドライン(第5版) / 総務省
① ルールの設定
まずABWで仕事を行う場合のルールを決めておきましょう。たとえば、ABWを行う場合に情報を持ち出す場合には、上長の承認を要することや、公衆無線LANへの接続を禁止することなどのルールを定めておくことが考えられます。機密情報を扱う従業員に対しては、そもそもABWを認めないというルール設定もあるでしょう。設定するべきルールの例としては以下です。
・外出先でのウェブミーティングをする場合
第三者に音声を聞かれてしまうことや、画面をのぞき込まれる可能性があるため、ウェブミーティングに参加する場合は、予約して使用できるような会議室や個別スベースなどを使用するようにしましょう。
・離席時の荷物の取り扱いについて
たとえ数分だとしても、席を離れる際は、PCやスマートフォンなどは持って離席するようにしましょう。「数分だから大丈夫」「国内だから取られないだろう」という安易な考えは危険です。
・紙書類の取り扱いについて
可能な限り、紙の書類を持ち歩くことは避けましょう。PDFなどにし、データとして持ち歩くほうが安全です。紙の書類を使用する際は、カフェスペースのゴミ箱にそのまま捨てるなどはかなり危険です。シュレッダーがある場合のみ破棄可能にするべきでしょう。
②「人」の教育訓練
情報漏洩は、“人”によってもたらされますので、“人”の観点からの情報漏洩防止が最も重要かつ難しいといえます。上記で定めたルールの周知徹底や、情報漏洩リスクの研修を実施し、自社の従業員の情報漏洩に関するリスクを適切に認識させておきましょう。
③ 技術(ツール)の導入
マルウエア感染などのリスクは、情報を窃取する側の技術も向上しており、いくらルールを設定し、従業員の教育訓練を徹底しても完全に防ぎきることは難しいといえます。そこで、やはり技術的に情報漏洩の防止を図ることが肝要です。
たとえば、基本的な対応としてのぞき見の防止として操作画面の自動ロックやプライバシーフィルターの貼付、のぞき見検知機能の導入から、マルウエア感染対策ソフトの導入、テレワークで利用するツールやクラウドサービスなどに対する管理者権限の限定の技術的措置を講じておきくことが考えられます。
【こちらもおすすめ】中小企業にもサイバー攻撃の脅威!ウイルス対策ソフトが必須な理由
まとめ
ABWでは普段のオフィスとは別の場所で仕事をすることとなり、それに伴い情報も移動することとなるため、情報漏洩のリスクが高まります。
もっとも、ABWは、従業員のワークライフバランスの向上や優秀人材の獲得などに資するものです。そのため「情報漏洩の可能性があるから認めない」とするのではなく、適切な情報漏洩対策を講じたうえで、ABWを実施してくことが重要です。情報漏洩などが起こってしまうと、取り返しの付かないことになります。リスクを避けるためにも、情報セキュリティ対策について社員に周知し運用していきましょう。
【こちらもおすすめ】テレワークを狙ったサイバー攻撃が多発!巧みな手口に対応する「セキュリティ対策」とは
*kou, metamorworks, taa, show999, ふじよ / PIXTA(ピクスタ)
【エクセル版チェックシートも】はじめてのオフィス移転お役立ちマニュアル
インボイス制度対応はこちら
