前回同様、システム運用のポイントについてお話しします。
今回は、セキュリティ的な話です。あえてセキュリティ的と表現した理由は、一般的なウィルス対策や不正利用の話ではないからです。中小企業のIT化支援を行っている中で、気が付いたよくある不備な点をいくつかお話しします。
(1) 管理用パスワード
自社開発システムの場合、意外と多いのが、管理用パスワードが変更できる仕組みがないことです。もちろん、保守契約を開発会社と結んでいれば、依頼して変更することが可能な場合がほとんどですが、ユーザー側で変更する仕組みがないことが多いようです。
結果として、システム管理者を引き継いでも、パスワードがそのままということになります。ユーザー側のパスワードを定期的に変更する仕組みがあっても管理側がないというのは問題です。システム運用の中に定期的な変更、最低限管理者交代時のパスワード変更はルール化すべきだと思います。
(2) ユーザー管理(ID廃止措置)
こちらも似たような話なのです、退職したり、転務したりして、そのシステムから離れたユーザーをいつまでも残しているケースがあります。
これも運用の中で、ユーザーの新規作成は、ルール化されているのに比べて、廃止がルール化されていないことが多いからです。特に退職者・転務者の情報が人事側しかもっていない場合に起きがちです。人事情報は機密性が高いのでシステム管理者側ではコントロールが難しいです。
社内規則として、退職者・転務者が発生した場合は、関連システムのID廃止を人事担当者からシステム管理者に依頼することを明確にし、退職手順等に明記しておくことが大切です。
(3) 社員の個人情報
これは上記と少しかぶっていることですが、社外の個人情報つまり顧客情報はしっかり管理されているのに比べて、社内の個人情報つまり社員情報が意外とあやふやな管理になっているところがあります。退職者や転務者だけでなく、全般的なことです。
よく緊急時に任意の社員に連絡を取りやすいように携帯電話番号一覧や住所一覧が作成されています。しかし、印刷不可などのロックもかかっておらず、パスワードもないファイルで管理(?)されていることを見ることがあります。中小企業だと人数も少ないため、つい見過ごされがちですが。特定の業種の営業にはとても魅力的な情報であることを忘れてはいけません。
閲覧時パスワード設定はもちろんのこと、印刷不可の設定ができるようなPDFファイルでのみ見れるような状態にし、安易な配布はせず必要最小限の閲覧環境を整えましょう。もちろん、更新業務は人事担当者のみができるようにしてください。
(4) 印刷物管理
ITシステムでペーパーレスというのはなかなかできそうでできないことのひとつです。手書きの時より簡単に複製や修正ができる分とりあえず書いて印刷、修正して印刷といった感じで印刷量が増えているのは言うまでもありませんね。
その際に問題なのがこの成果物の途中の印刷物です。コスト削減の一環で途中印刷物の裏紙を再度利用している企業は少なくないと思いますが、その利用対象をきちんとルール化しているところが意外と少ないです。
社内社外の個人情報はもちろん、金額が入ったもの、社内外の打合せ簿などは裏紙の利用対象から外し、できれば即廃棄することが望ましいです。裁断してメモ紙にしているケースもありますが、以前もお話ししましたがどこでどう間違って社外に流出しないとも限りません。(特に現場は危険です)裏紙利用には一定のルールを設けるようにしてください。
できれば、このような印刷物は最初から両面印刷をできるようにパソコン側で標準設定を行い、裏紙として利用しなくて済むような仕組みが理想です。プリンター更新時には少し高くても両面印刷機能がついているものを購入することをお勧めします。裏紙利用より確実に楽になると思います。