|
弁護士の先生がまだ新人のころ、先輩と同行をしていたとき。駅のホームで先輩から預かったかばんを下に置いたその瞬間「ばかもの、かばんをそのまま置くな!足の間に置きなさい。それから端は踏んでいなさい。」と怒られたそうだ。
こういったルールや決まりごとはどの業界や職種でも、加えて歴史が古ければ古いほど、あると思う。一方ITについてはどうであろう。残念ながらここ数年急速に普及した新しい道具なので、そういったルールや掟はほとんど無いと思う。
例えばメール。メールはとても便利であるが故、急速に普及をした。支社間のデータのやり取り、特に海外とのやり取りには、ファックスに代わって現在では重要な役割を果たしている。しかしファックスとメールとの大きな違いは、安全性にある。メールの場合は、悪意を持った第3者が、簡単に中身を見ることが出来るのをご存知であろうか。その危険性はファックスと比べると雲泥の差であり、それこそ例えば値札に仕入れ値まで書いてあるぐらいのものだ。
皆さんの会社でもメールで「ワード」や「エクセル」のデータのやり取りをしているのだったら、まず考えていただきたいことがある。
『もし、そのデータが第三者の手に、それも悪意のある者の手にわたった場合、どれだけの被害が想定されるか』
貴社にある「電子書類(いわゆるエクセルやワードで作られた書類)」について、ピックアップをして、それぞれに「リスクの度合い」をつけてみる方法をお勧めする。そうしてそれらの扱いのルールを作る。例えば「誰がそれを扱えるのか」とか「それらを保管する場所」とか「パスワードをかける、かけない」等。
次にそれらの内容を文章化し、社内での広報を行う。時には集合教育も必要だろう。
最後に忘れてはならないのが、経営トップの同意である。社員にはそれを押し付けて、経営トップは全く守っていないという話は良く聞くが、それでうまくいったためしは無い。
実はこれが今話題の「セキュリティポリシ」の策定とその実施方法の一例である。
電子書類についての扱いであったが、メールやホームページの閲覧や、システムのデータの取り扱いなど、この方法で優先順位に従って作成していけばよい。
その他忘れてはならないことが、就業規則への追加記載である。その中で特に気をつけなければならないことは、「メールのプライバシーに関して」である。具体的に言うと「何か問題が起きたときに、それが個人のメールにその証拠があると考えられる場合、会社側はその個人のメールの内容を自由に閲覧できるかどうか」という問題である。
結論から言うと「本人は事前に閲覧される可能性のあることを認知している」必要性がある。したがって比較的簡単な方法は就業規則にその一文を盛り込むことだ。
一方セキュリティに関して意識の高い企業は、「社内情報資産利用に関する誓約書」を社員と取り交わすところもある。
数年前メールが普及し始めたころを思い出す。ウィルスの脅威とワクチンの必要性をお客様にお伝えしても「分かっているけどね。」ならまだしも「うちはウィルスなんか来ないよ。メールはほとんどやっていないから。」という反応がほとんどであった。
しかしいざデータが無くなる、お客様にウィルスを送ってしまう、等被害にあってから「どうしたらいいんだろう。」という連絡が来たものだ。(今でも良くご相談を受ける)
そういったお客様に限って先ほど述べたような反応をされていた方々であった。
最近私たちはこのセキュリティに関しての反応を、別な見方で楽しむようになっている。例えばお客様にセキュリティのお話をして
「セキュリティ?大丈夫だよ、うちなんか盗まれて困るような情報なんて何も無いよ。」
なんて答えが返ってきたとき
「これは将来のきっと弊社にご連絡をいただき、助けを求めてくるだろうな。」
と。
| 