情報セキュリティ(現場編)その2

 情報セキュリティの現場編の2回目です。前回はウィルス対策についてでした。今回は情報流出対策の説明をしたいと思います。


 個人情報保護法の施行以降、発注者・近隣住民・関連業者さんにいたるまで、情報流出に対する意識と関心の高まりはとどまるところを知りません。法律上は、5千名以上の顧客情報を有するものに対してとありますが、数十名でも個人情報を管理する以上、情報流出対策を施す必要があります。たとえ数名でも賠償責任が生じるからです。

 現場での個人情報は、氏名・住所の基本情報はもちろんのこと、学歴等のセンシティブ情報、さらに状況によっては医療情報などハイセンシティブ情報(高圧業務の関連等で)まであります。また、個人情報以外にも、オープン前のビル内図面や工場の機械配置等、企業の最高機密情報もあります。これらは業務を行ううえで必要不可欠な情報ですが、同時に流出防止を徹底しなければならない情報でもあります。

 このように、現場には一般企業以上に重要情報があるにもかかわらず、管理体制はきちんとできていない場合が多いものです。しかし、現場管理以外にこれらに気を使うのは大変です。そこで、できるだけ最小限の労力で管理できるよう押さえておくべきポイントをお話します。

 まずは、施錠や机の片付け等、身辺の対策です。机上の資料は、現場に行く等少し長く不在になるときは、必ず引き出しに入れるようにしましょう。そのためには、ひとつの引き出しを一時保管用にまるまる空けておくようにします。こうすればすぐにしまうことができますし、元に戻すのも楽です。「引き出しひとつあけるなんて難しいよ」という方もいらっしゃるでしょうが、その場合は増設してでも空き引き出しを用意するようお勧めします。
 また、関係者に鍵を渡して施錠を習慣づけるようにしましょう。現場事務所全体を施錠するのが理想ですが、最低でも机の施錠をしましょう。私の経験ではこの対策が一番わかりやすく効果が大きいです。施錠によって「この現場は情報管理をきちんとやるんだ」といった意識向上も図れます。事務所がきれいに見えるというおまけ効果もあります。机が片付いていて、施錠がしてあるということは、机やその他の場所に資料が逸散していないということです。これが進むと、ファイリングや棚管理など一歩上の情報管理を行えるようになります。

 次にパソコン管理です。ウィルス対策以外で行っていただきたいのが、不正侵入防止です。スパイウェアを筆頭に、インターネット上には様々な情報漏えい
のわながあります。もっとも手軽な対策は、ファイアウォールソフトの導入です。昔と違ってウィルスソフトとセットで販売されていることが多いので、知らないうちに導入している場合もあるかと思います。意識的にウィルスソフトだけ導入されている方もおありかもしれませんが、情報流出はウィルス対策では防げません。パソコンの性能は多少犠牲になりますが、ぜひ導入してください。
 このほかにも覗き見防止対策として、離席時にパスワード付スクリーンセーバーを起動させたり、盗難対策として週末は必ずノートパソコンを施錠のできるところにしまうよう習慣付けましょう。「見せない、見させない」が情報流出防止の基本スタイルです。

 最後に紙の管理です。電子データのほうが加工しやすく持ち運びやすいため、ついついそちらに目が行きがちですが、紙のほうがよほど危ないのです。最近は経費削減対策の一環で、失敗した印刷紙の裏紙をメモやためし印刷に使うところが増えてきていますが、金や人の情報がはいったものはどこで見られるかわかりません。もったいなくても不要になったら必ずシュレッダーにかけます。また、必要となる可能性は低いが取っておきたい資料などは、スキャナーでとりこんで電子化し、紙は破棄しましょう。めったに使わないカタログ類や期限の過ぎた安全大会の資料などは、場所をとるだけで無駄です。情報としては価値は低いでしょうが、適切な管理(できるだけ処分)をして大事な情報を埋もれさせないようにすることが大切です。

 今回お話した対策はそんなに難しい内容でなく、明日からでも実行できるようなものを選びました。簡単ですが、効果はあります。まずは自分の身の回りか始めて現場全体に広めていき、最後に会社全体へとステップアップしていくのがいいと思います。