一般企業法務CATEGORY
一般企業法務
投稿日: 更新日: 弁護士 藤川 新

テレワーク・在宅勤務で注意すべき情報漏洩リスクと効果的なセキュリティ対策

新型コロナウイルス感染拡大防止のため、政府から、テレワーク・在宅勤務が推奨される中、テレワークを実施する企業が急増しています。テレワークは、ICT(情報通信技術)を利用した場所や時間にとらわれない柔軟な働き方のことです。

もっとも、情報漏洩防止のためのセキュリティ対策やルール策定等の十分な準備ができないまま、テレワークの実施に踏み切った企業も多いようです。

テレワークの実施にあたり、情報漏洩等のトラブルが懸念されるものの、具体的にどのようなセキュリティ対策を講じればよいかわからないという方もいらっしゃるのではないでしょうか?

今回は、テレワーク・在宅勤務に潜む情報漏洩リスク、典型的な情報漏洩トラブル、経営者・システム管理者・テレワーク実施者のそれぞれが実施すべきセキュリティ対策、テレワークツールの選び方などについて解説します。

テレワーク・在宅勤務に潜む情報漏洩リスク

テレワークや在宅勤務を実施した際、どのような情報漏洩リスクが起こる可能性があるのでしょうか?
実際に起こり得る情報漏洩リスクについて具体的に説明します。

1.自宅以外の場所でリモートワークする場合のリスク

自宅には小さな子供がいるため、テレワークでの仕事に集中できない等の理由で、自宅ではなく、カフェやコワーキングスペース等の公共の場で仕事をする従業員もいるはずです。
公共の場所では、インターネットに接続するために無線LAN(Wi-Fi)が提供されている場合が多く、リモートワークを行う際には頻繁に利用されています。しかし、無線LANの中には致命的な脆弱性が発見されている種類もあるため、注意が必要です。脆弱な無線LANを利用してメールの送受信を行うと、送信元や受信先のメールアドレスやメールの内容が外部に漏れてしまう危険性もあります。

また、カフェやコワーキングスペース等で、通路に背を向けたまま席に座って作業をすると、背後を通る人からパソコンの画面に表示されている情報を覗き見されるリスクがあります。覗き見程度であれば、重要な社内情報を盗まれる危険性は低いかもしれませんが、会社名や、他社と共同で企画中のプロジェクトの概要等が表示されている画面を、競合他社や取引先の社員に見られた場合、「あの会社の社員は情報セキュリティに対する意識が低すぎる」、「情報漏洩のリスクがあるから仕事を任せるのは危険だ」などいう噂が業界内に広まり、会社の信用問題に関わるトラブルに発展する危険性もあります。

2.私物のパソコンを利用する場合の情報漏洩リスク

テレワークや在宅勤務を実施する際、従業員全員に対して、セキュリティ対策が施された会社のノートパソコンを支給するのが理想的です。しかし、予算等の関係で難しい場合もあるかと思います。その場合、従業員は、各自、私物のパソコンを使用して仕事をすることになります。もっとも、私物のパソコンに最新のウイルスソフトがインストールされていないと、パソコンにウイルスが侵入して、会社の重要な機密情報が外部に流出する危険性があります。ウイルスに感染した私物のパソコンを、社内のネットワークに接続した場合、社内にウイルスをばら撒くことにもなりかねず、社内の情報が外部に流出するリスクが高くなります。

典型的な情報漏洩トラブル事例

テレワークや在宅勤務に伴い、実際に起きたトラブルや情報漏洩リスクの高いトラブルの事例をご紹介します。

1.Zoomを利用したオンライン会議中の情報漏洩

テレワーク中に、社内外の関係者間で打合せや会議が必要な際、インターネット上で利用できるWEB会議システムが広く用いられています。WEB会議システムの中でも知名度が高いのが、直感的に操作できる利便性が高く評価されているZoom(ズーム)です。Zoomは新型コロナウイルス拡大に伴い、世界中で利用者が急激に増加し、2020年2月には、1日の利用者数が2千万人以下でしたが、同年3月には、2億人まで増えたそうです。しかし、Zoomを利用したオンライン会議に外部の人間が侵入して会議の内容が外部に漏れることや、社員のIDが盗まれること等の情報漏洩トラブルが相次いで報告されました。
Zoomを安全に使用するためには、以下の点を徹底することが大切です。

  • 待機室機能をオンにして、ミーティング主催者が参加者を確認した上で参加を許可すること
  • 会議には必ずパスワードを設定すること
  • 会議のIDやURLは、参加者以外の者に知られないよう厳重に管理すること
  • 会議開始後は途中で不正ユーザーが参加しないよう、必ず会議をロックすること

Zoomの公式サイトには、「Zoom ミーティングを安全に実施するための10の方法」という文書も公開されているので、Zoomを利用する際は事前に確認するとよいでしょう。

また、2020年4月27日には、セキュリティを強化した最新版のZoom 5.0もリリースされました。今後もセキュリティを強化するためのバージョンアップが行われる可能性があるので、Zoomを利用する際は、最新版を利用することを、社内ルールとして徹底することをおすすめします。

2.パソコンの紛失や盗難事故

テレワークを実施すると、社外でパソコンを使用する機会が多くなるため、必然的にパソコンの紛失や盗難事故が発生するリスクが高くなります。以下は、典型的なトラブル事例です。

  • 会社から支給されたノートパソコンを自宅に持ち帰る途中で、電車やタクシーの中に置き忘れてしまった
  • カフェで仕事中に離席した際、使用していたノートパソコンが盗まれた

パソコンの紛失や盗難が発生した場合、パソコンに保存していた重要な社内の情報が盗まれるリスクがあります。「うちの会社には、パソコンを放置したまま離席したり、外出時に置き忘れてしまったりするような不注意な従業員はいない」と思われるかもしれませんが、個人情報漏洩等のトラブルの半数以上は従業員のうっかりミスなどのヒューマンエラーが原因だというデータもあります

セキュリティ対策策定時の基本的な留意点

テレワークに伴うトラブルについて説明しましたが、これらのトラブルを防ぐためにはどのようなセキュリティ対策を講じればよいのでしょうか。

総務省がテレワークの導入を検討中の企業に対して、参考資料として公開している『テレワークセキュリティガイドライン』には、テレワークにおける情報セキュリティ対策のポイントとして、以下のような記載があります。

“情報資産を守るためには、「ルール」・「人」・「技術」の三位一体のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることがポイントとなります
引用元:テレワークセキュリティガイドライン(総務省公式サイト)

「ルール」・「人」・「技術」に関する対策というのは以下のような内容となります。

  • ルール:セキュリティ確保のためのルール策定
  • 人:従業員の間にルールを定着させるための教育や啓発
  • 技術:セキュリティに対する脅威の自動的な検知や防御

「ルール」・「人」・「技術」のバランスがとれた対策を実施するためには、具体的にどのようなことを実施すればよいのでしょうか?経営者、システム管理部門、従業員それぞれが行うべき対策について説明します。

経営者が実施すべきセキュリティ対策

経営者・経営陣が最初に行うべきことは、「ルール」の策定です。社内の情報セキュリティに関するルールや、セキュリティポリシーを策定する際は、業務の内容や形態、保有する情報資産、社内のネットワークやシステム構成等も考慮する必要があります。システム管理部門や関連部門のキーパーソンと連携しながら、自社に適したルールを策定しましょう。社内にシステム部門が存在しない場合、外部のコンサルタントに相談してもよいでしょう。
「ルール」を策定する際は、実際に起こり得るトラブルを洗い出し、それを予防できるような規則を設けることが大切です。「情報漏洩が起こらないように十分注意しましょう」などという抽象的な表現ではなく、できる限り具体的なルールを明示しましょう。前述したとおり、カフェ等の公共の場では、覗き見や盗難のリスクがあるので、カフェ等の公共の場でノートパソコンを使用する際のルールとして、以下のような規定を設けるとよいでしょう。

  • 背後が通路になっている席には座らないこと
  • 画面にプライバシーフィルターを貼ること
  • 離席する際にパソコンを放置しないこと

また、「ルール」は「人」によって守られなければ意味がないので、「人」(従業員)が「ルール」を遵守するための仕組みも必要です。テレワークは管理の目が届きにくい環境で行われるため、「ルール」の内容を全従業員に通知するだけでは不十分です。定期的な研修や啓発活動により、従業員の情報セキュリティに対する意識を高めることが大切です。また、罰則規定を設ける、誓約書や同意書の提出を求める等のやや厳しい対策も、うっかりミスによる情報漏洩の抑止効果につながります

また、パソコンの紛失や盗難、情報セキュリティに関するトラブル等の事故が発生した場合の報告義務、報告の際のレポートライン、システム部門や関係者が行うべき対応の内容も明確に決めて、ガイドライン等の文書にまとめて社内で共有しておきましょう。

システム管理部門が実施すべきセキュリティ対策

システム管理部門の役割は、「技術」の面から、自社の情報セキュリティの基盤を構築することです。テレワークを安全に実施するために、現状のシステムでは不十分だと判断した場合は、積極的に新しいシステムの導入を提案しましょう。システムのスペシャリストとしては、最先端の技術を搭載したシステムを提案したいと思われるかもしれませんが、必ずしも最先端のシステムが自社に適しているとは限りません。セキュリティ対策のためのシステムを提案する際は、自社の業務内容や形態、予算や費用対効果などを考慮することが大切です。

例えば、テレワークを実施する際に、EPPやEDRなどのエンドポイントセキュリティを設定したノートパソコンを従業員全員に配布することがセキュリティ対策の観点から望ましいとしても、現実的には、すぐに予算を確保して全員に配布するのが難しい場合もあります。その場合、比較的安価かつ迅速に導入できるクラウドサービスの利用を提案してもよいでしょう。

また、パソコン紛失時に、遠隔からロックするリモートロックやパソコン内のデータを消去するリモートワイプも導入しておきたいところですが、予算に余裕がない場合は、他の方法を検討してもよいでしょう。例えば、セキュアブラウザやシンクライアントなどを導入してパソコン内に重要なデータを残さないことにより紛失時の情報漏洩を防止するという方法もあります。
このように、柔軟な考え方で情報セキュリティの安全面と従業員の利便性のバランスをとりながら、自社に適したセキュリティ対策を提案することが大切です。

テレワーク実施者が行うべきセキュリティ対策

テレワークは職場内の環境と異なり、様々な情報セキュリティ関連のリスクにさらされやすい状況にあります。一人ひとりが情報漏洩のリスクを認識し、意識を高く持つことが非常に重要です。一人ひとりが社内のルールをしっかり理解して守れるよう、明確なルールを示すとともに定期的に啓蒙活動を行うことが望ましいでしょう。
また、テレワークでは、お互いの顔が見えない環境で仕事をすることになるので、テレワークツールの操作方法やセキュリティ設定の方法がわからない時に、身近にいる従業員に質問をすることができません。同じ部署内にITツールに苦手意識を持つ同僚や部下がいる場合は、「わからないことがあったらいつでも電話して」などと率先して声をかけ合うなど、お互いを助け合える環境作りも大切です。

テレワークツールの選び方

テレワークを実施するためにツールを導入する場合、どのような基準で選べばよいかわからないという方もいらっしゃるかと思いますので、自社に合うテレワークツールの選び方について説明します。

1.最優先事項は情報漏洩リスクを最小限に抑えること

テレワークツールを選ぶ際に最も優先すべきことは、情報漏洩等のリスクを最小限に抑えるために、必要なセキュリティ対策が施されているかという点です。システム導入後に問題なく使用するためには保守体制も大切なので、サポート体制についても必ず確認しましょう。製造元が信頼できる企業であるかという点を確認することも大切です。

日本テレワーク協会が公開している『中堅・中小企業におすすめのテレワーク製品一覧』には、中小企業が安全にテレワークを実現するために推奨される製品が紹介されています。各製品の特徴や価格が比較表にまとめられているので、比較検討の際の参考になるかと思います。

中堅・中小企業におすすめのテレワーク製品一覧2.0版(日本テレワーク協会公式サイト

2.使いやすさや費用対効果も大切

テレワークツールを選ぶ際は、使いやすさも考慮する必要があります。ITリテラシーには個人差があるので、ITリテラシーが低い従業員でも問題なく使えるツールを選ぶことは非常に重要です。

例えば、最近はアカウント認証時の安全性を高めるために、ログイン時に指紋などの生体認証やワンタイムパスワード等を用いた多要素認証を採用する企業が増えていますが、多要素認証には以下のような問題点もあります。

  • システムにログインするのに手間がかかりすぎる
  • パスワードを忘れる人が多く、管理者への問い合わせが多い

このような従業員の負担を考慮すると、多要素認証ではなく、一つのIDとパスワードを入力して、複数のシステムにログインできるシングルサインオンなどの代替案を提案してもよいでしょう。

セキュリティと利便性は相反する場合も多いので、従業員に対して余計な負担を強いないためにも、使いやすさを十分に考慮することも忘れないようにしましょう。

まとめ

今回は、テレワーク・在宅勤務に潜む情報漏洩リスク、典型的な情報漏洩トラブル、経営者・システム管理者・テレワーク実施者のそれぞれが実施すべきセキュリティ対策、テレワークツールの選び方などについて解説しました。

テレワークには情報漏洩のリスクが潜んでいるため、トラブルを未然に防ぐために、自社に適した予防策をしっかりと講じることが大切です。

東京スタートアップ法律事務所でもテレワークを導入し、オンライン会議システムやチャットツールなどを用いて日常業務を行っています。我々自身の経験も踏まえつつ、様々な企業の状況やニーズに合わせた情報セキュリティ対策についてアドバイスさせていただいております。
新型コロナウイルス感染防止のため、お電話やZoom等のオンライン会議システムによるご相談も受け付けていますので、お気軽にご相談いただければと思います。

弁護士藤川 新 東京弁護士会
【得意分野】 一般民事事件(離婚、各種損害賠償請求等) 刑事事件 一般企業法務