テレワークにおける情報漏えい対策をセキュリティガイドラインに基づいて解説

　「テレワークの情報漏えい対策はどうすればいいんだろう」
「テレワークで情報漏えいしてしまった場合の対策は？」
このように悩んでいる方も多いでしょう。
テレワークを推進するにあたり、やはり怖いのが情報漏えいリスクですよね。
当記事では、テレワークにおける情報漏えい対策について総務省のセキュリティガイドラインを参考に解説します。

総務省のセキュリティガイドラインとは

総務省のセキュリティガイドラインは、テレワークを取り巻く環境やセキュリティ動向の変化に対応するために総務省が作成したガイドラインです。
テレワークを導入する企業が増えて働き方の自由度が増しましたが、同時に充分なセキュリティ対策ができていないことによる事件も増えています。
テレワークを活用する企業は、このガイドラインに則った運用ルールを定めることで、サイバー攻撃等の脅威に備えられます。

テレワークの情報漏えい対策は「ルール」「人」「技術」で考える

テレワークの情報漏えい対策には以下の考え方が有効です。
● ルールを整備する
● 社員教育で対策する
● ルールや人で対応できないところを技術でカバーする
ひとつずつ具体的に説明します。

【ルール】ルールを整備する

テレワークの情報漏えい対策には、まずルールを整備しましょう。
指針となるルールがあれば、社員はルールを守るだけで安全に業務を遂行できます。
たとえば、以下のようなルールがガイドラインで推奨されています。
● テレワークに使用する端末のアップデートを定期的に行う
● 共有フォルダの閲覧権限を制限する
● 少しでも不審に感じたメールは開かず、システム担当者に連絡する
ルールを設定して、安心してテレワークを行える環境を作りましょう。

【人】社員教育で対策する

ルールを設定したら、社員教育で周知徹底して対策します。
ルールだけあっても、社員が適切に認識していないと、情報漏えい対策として不十分です。
たとえば、ルールブックを作成して各部署で読み合わせを行ったり、テストを作成して全社員に受けてもらったりすることでルールを覚えてもらいます。
ルールを覚えて適切に運用してもらえば、テレワークで目が行き届かなくても、情報漏えいの可能性が減るでしょう。

【技術】ルールや人で対応できないところを技術でカバーする

ルールを整備して社員教育を行っても対策しきれないところは技術力でカバーしましょう。
どうしても人為的ミスは発生するものなので、想定して技術で対策しておけばうっかりミスにも対応できます。
たとえば、社員が危険なサイトにアクセスしてパソコンがウイルスに感染してしまう事態を予測して、不要なサイトにアクセス制限をかけておけば未然に防げます。
情報漏えいの事例を参考にして事前に対策しておけば、万が一操作ミスで情報漏えいしそうになった社員がいても大事にならずに済みます。

情報漏えい対策は、最も弱いところが全体のセキュリティレベルになる

「ルール」「人」「技術」のセキュリティ対策は、バランスよく行いましょう。
なぜなら、どこかの対策が甘いと全体のセキュリティレベルが低下してしまうためです。
たとえば、せっかく良いルールを作って人為的ミスを防ぐ施策を打ったとしても、社員教育が行き届かずルールが機能していない状態では、社員の認識不足で情報漏えいしてしまいます。
全体のセキュリティレベルをあげるため、バランスよく対策しましょう。

テレワークの情報漏えい対策に大切な「ゼロトラスト」の概念

テレワークの情報漏えい対策には「ゼロトラスト」の考え方を用いると万全の対策になります。
ゼロトラストとは、性悪説に基づいた考え方で、社員も端末等の機器も信用しません。
全て疑って確認してまわることで、高度化したサイバー攻撃にも、感知しづらいマルウェアにも対抗できるのです。

テレワークで情報漏えいしてしまった場合の対策

万が一テレワークで情報漏えいしてしまった場合、情報漏えいによる直接的・間接的被害を最小限に抑えることが重要です。
● 被害拡大防止・二次被害防止・再発防止
● 事実確認と情報の一元管理
● 透明性をもって情報開示
これらのスピード感を持って行うことで、被害拡大を防止し、会社の評判を落とさずに済みます。

被害拡大防止・二次被害防止・再発防止

テレワークによる情報漏えいが発覚したら、まずこれ以上被害が拡大しないよう手を打ちましょう。
たとえば、インターネット上に誤って機密情報が公開されていた場合、速やかに削除します。
その後、なぜ情報漏えいが発生したのか原因を突き止め、再発防止策を考えます。

事実確認と情報の一元管理

情報は１箇所で一元管理しましょう。
混乱により様々な憶測が飛び交うと、企業の信用に関わります。
問い合わせ窓口をひとつにし、正しい情報のみ把握して適切に報告できるようにしましょう。

透明性をもって情報開示

事件に関して情報開示が必要と判断した場合、できるだけ透明性をもって情報開示します。
情報公開することで二次被害につながることが予想される場合を除き、正直に報告することで信頼できる企業であるという印象になります。

まとめ：テレワークによる情報漏えいには万全の対策を

今回は総務省のセキュリティガイドラインに基づき、テレワークによる情報漏えい対策をお話ししました。
情報漏えいは、テレワークだけでなく機密文書を廃棄する際も注意すべきです。
情報漏えいが心配な機密文書は実績のある廃棄業者に処理を依頼しましょう。