在宅ワークを含むテレワークで、個人情報などが流出する事故が予想される。
ふだんからテレワークを実施している企業・組織であれば、さほど心配はないと思うが、今回の新型コロナウィルスに関連して、急遽不慣れなテレワークをしている場合が心配だ。
じつは国の緊急事態宣言が出される前後から、私の携帯電話へ、知らない電話番号から数件の電話がかかってきている。いずれも留守電対応したが、中には私の携帯電話番号は当然のことながら、ある程度の個人情報を持っていると思われるメッセージが残されているものもあった。
それも発信者番号は、やはり私が事前に知らない携帯電話の番号である。つまり、個人情報を持ち出して外で仕事をしていることも考えられるのである。
在宅ワークとテレワーク
一応、この項における言葉を整理しておく。
まず在宅ワークは、パソコンやスマートフォンなどを使い、インターネットに接続して「個人の自宅」でする仕事のことだ。
いっぽうテレワークは、個人の自宅に限らず、本来の場所(一般的には会社の社屋)から離れた「あらゆる場所」を想定する。駅や空港、喫茶店、屋外の公園、移動中の車内や機内、海外などが考えられる。
つまり在宅ワークはテレワークの一形態であり、いずれも「仕事をする人が、本来の場所から離れたところで行う」という点で共通している。
この二つの言葉はいずれも、「仕事は同じ時間に同じ場所に集まって行うもの」という考え方が前提の社会における、比較的新しい働き方であり、「工場制機械工業」以来の働き方改革の一手段である、とも言えそうだ。
ちなみに、チェーン店などで加盟店舗が日常的にデータを本部へ送信するなどという形態は「拠点間通信」であって、テレワークではない。
会社以外で仕事するということ
テレワークを語るとき、当然のことながら労働集約的な仕事は視野に入らない。現場に出向いて生身の人間が動かなければ始まらない仕事ではなく、情報機器と情報ネットワークを利用した、事務作業とコミュニケーションがテレワークの業務となる。
つまりテレワークは、現場・現業部門よりも管理部門、企画部門、経営サイドなどにおいて利用価値のある仕組みであるといえる。
ということは、さまざまな重要情報を取り扱うことになるわけだ。当然、個人情報を扱う場合も考えられる。
こういった重要情報の「重要度」や「意味」は立場によって異なるが、情報を取り扱っている担当者(従業員)自身が、ひしひしとその情報の重要度を感じているかどうかは全く別問題である。
また、テレワークは技術的な問題も絡んでくる。テレワークを行う担当者レベルでも、一定の技術的理解は必要だ。
そして技術的なこと以外に、会社の外で仕事をするということのリスクについて教育を受け、正しく理解しているかどうかということも大切なポイントである。
緊急事態という状況を背景に、「こんな状況だから名簿を転送してくれ!」などと指示され、まんまと重要情報を抜かれてしまう被害も予想できる。
テレワークのための技術的な要点をザっと
テレワークを実現するための仕組みを、ざっと三点に整理する。
ひとつ目として、作業者側にパソコン、タブレット、スマートフォンなど、インターネットに接続できる情報機器が必要になる。これらは作業者の個人所有のものであったり、会社から貸し出されているものであったり、場合によってはインターネットカフェなど不特定多数の人で共用するものを使うこともあるかもしれない。
二つ目にテレワークを実現するためのシステム、つまり仕組みを管理するソフトウェアや、これを支えるハードウェアが必要である。
既存の大手企業などであれば自前ですべてを準備している場合もあるが、昨今の状況からいえば、テレワークに利用できるクラウド・サービスを活用するパターンが多いと思われる。なんといっても圧倒的なスピードで会社としてテレワークを始めることが出来るし、一般的なことなら無料で利用出来る(ここにセキュリティ的に考慮すべき重要な点があるのだが後述する)。料金を払えばさらに高度なことができたり、より高品質なサービスを受けたりすることも可能だ。
最後に、これら両者をつなぐネットワークが必要となる。
当然、「インターネット」と誰もが即答できるだろうが、事はそう単純ではない。インターネットだけがあっても両者はつながることができない。
インターネットへつながるためのネットワーク、すなわち「アクセスライン」を意識しておくことが大切だ。
たとえば公園でインターネットにつながりたいのなら、携帯電話事業者のネットワークを経由するなどの手段が必要となる。
また、遠隔地の自社支店、取引先、空港や喫茶店などの場合、その施設のLAN(らん:施設内ネットワーク)を介し、さらにその施設が契約・加入しているアクセスラインを経由してインターネットに接続することになる。
つまりテレワークではほぼすべての場合、複数のネットワークを通過しているということであり、それぞれのネットワークがどのように管理されているか、あるいはされていないかという視点が重要となる。
技術的なことと、そして
純粋に技術的な意味では、現在のテレワーク環境の安全性はかなり整ってきている。たとえば先に示した三点(①利用者側端末、②管理側システム、③通信ネットワーク)においては、それぞれに暗号化技術などが存在し、一般の利用者はあまり難しいことを考えなくとも、一定の安全を確保できる環境にある。
ただし、安全のための技術は揃っていても、これを適切に利用するためには利用者にも最低限の知識は必要だし、同時に何がリスクなのか(何がヤバイことなのか)を知っておかねばならない。
たとえばインターネットバンキングなど、仕組みそのものは合理的で先進的であっても、利用者がたった一本のメールの取り扱いを誤ったことで大切な財産が盗まれてしまうということがある。
たしかにメールの文面等を解析して警告したり、自動削除したりするセキュリティ技術もあるが、最終的には(AIでも万能ではなく)人の状況判断力の問題といえる。
「情報セキュリティ」というと、専門家や技術担当者の仕事と思われたりしがちだが、利用者一人ひとりが知っておくべきことはやはり存在するのだ。
その重要情報はこうして漏れていく
テレワークにおける重要情報の漏えいに関して、筆者はここでもまた三点に整理して考えている。
もちろんここでは、内部関係者が意図的に情報を漏らす場合は例外である。ただ悲観的に考えれば、生活の困窮などがその動機となることは常に考えられる。
- その場に特有のリスク
- 情報の持ち出しリスク
- 無料サービス・個人向けサービスを利用するリスク
その場に特有のリスク
テレワークを行う際、最初に気にしておいてほしいのは「その場所に特有のリスク」である。
外出先でパソコンやスマートフォンをインターネットに接続する場合、必ず何らかのアクセスネットワークを経由することになるが、最も危険なのは、外出先で「自動的につながっているWi-Fi」や「提供者の身元がよくわからないWi-Fi」を使ってしまうことである。
この場合、すべての通信が傍受・盗聴されている可能性は捨てきれない。 いま自分が接続しているWi-Fiの電波は、身元がしっかりしているものかどうかを端末で確認する習慣をつけたほうが良い。
なお、携帯電話会社が提供しているWi-Fiルーターを使っている場合や、スマートフォンのテザリング機能を利用している場合は心配する必要はないだろう。
また有名なカフェ・チェーン、有名なホテルなどでは、専門の通信業者が一括して設備とサービスを提供している場合が多いので、これもまず心配は無用だ。
ただし、そのような状況であっても、よからぬWi-Fi電波が流れていれば、場合によってはそちらに接続してしまう可能性もなくはない。やはり確認は必要だ。
そしてもう一つの「その場に特有のリスク」は、他人の視線と盗難である。
周囲に他人がいる状況で、無防備にノートPCで作業をしていたりするビジネスマンを見かけることがあるが、状況判断ができない人だと言わざるを得ない。
またエレベーターやエスカレーターでスマートフォンの画面に没頭している人もいるが、背後でじっと視線を向けている人の可能性を意識できていないとすれば、仕事の情報を取り扱う資格はない。
盗難については犯罪行為であるから盗むほうが悪いのではあるが、外出先で情報処理作業を行うにあたって、可能な範囲の防犯措置すらしていなかったとすれば、その責任は小さくない。保存情報の高度な暗号化や、端末そのものに情報が残せないもの(シンクライアント)を使うことも、状況が許せば検討したい。
さらに、インターネットカフェなどで不特定多数の人と共用する端末を使用してのテレワークは、極力避けたほうが良い(本来なら禁止事項だ)。端末とその施設内ネットワークはどんな管理がされているか、いないかはほぼ不明であるし、解像度の高い監視カメラが設置されている場所で、資料を広げるなどもってのほかである。
情報の持ち出しリスク
情報はどこに「宿る」のか、を意識しておきたい。
パソコンやスマートフォンは当然だし、USBメモリーなどの可搬型記憶装置(ボイスレコーダー等も含む)、そして紙の資料である。
もちろん人間の脳にも情報は宿るが、話がそれるのでここでは触れない。
これらは持ち運びが容易であるからこそ、常に盗難・紛失のリスクがある。 一定の安全が確保された会社の外に持ち出すことそのものが、そもそもリスクであると確認しておきたい。
理想的には会社などがシンクライアントを貸与して、情報というものを一切外部へ持ち出さないことがよいのだが、そうもいかない場合がある。
であれば、暗号化しておくことは最低限の安全措置だ。
それも、保存されているファイル単位の暗号化やパスワード付与だけではダメである。USBメモリーなどの製品では、その製品をまるごと暗号化できる機能のものを使うべきだ。
そして可搬型記憶媒体の持ち出し管理・個体管理を徹底しておかなければならない。これは持ち出す人に対する注意喚起の効果もあるが、万一の際に追跡調査ができず被害が拡大してしまわないようにするためだ。
紙の資料については、持ち出し禁止が当然である。
テレワークにおいては、やはり電子化したうえで暗号化すべきである。「ドキュメントスキャナー」や付属のソフトを活用することで、飛躍的に安全性を高めることが出来る。
無料サービス・個人向けサービスを利用するリスク
無料サービスにリスクがあるというと、なにやら業者の回し者的に聞こえるかもしれない。しかし、少なくとも「企業の情報セキュリティ」を語らせてもらえるなら、無料サービス・個人向けサービスを利用することそのものが、進んで漏えいリスクを抱え込むことになる。
企業が一般事務などを遠隔で従業員に行わせる際、高い確率で利用されると思われるのが、MicrosoftやGoogleなどが提供しているクラウド・サービスである。
たしかにこれらは、サービスの全般にわたって高いセキュリティを確保している。
ただし、あまり指摘されない重大な落とし穴がある。 無料サービスを使ったり、有料であっても個人向けのサービスを使ったりしてしまうことだ。
個人向けサービスと法人向けサービスの決定的な違いは、そのサービスにおいて取り扱う情報を、(会社の)管理者がコントロールできるかどうかという点にある。
つまり法人向けサービスは、その管理機能に対して、少し追加のコストを払っているのだともいえる。
そもそも個人向けのサービスは、その利用者個人の判断で、誰とでも情報をシェアすることが出来るようになっている。
しかし法人向けサービスではそうはいかない。情報をシェアできる範囲が会社の管理者によってコントロールされるからだ。またメールやSNSなどで組織の外部に情報を送信するようなときにもチェック機構が働くし、いつ、だれが、どの情報にアクセスしたかの履歴も残り、管理者が後から参照できるようになっている。当然ながらその担当者に関係のない情報にはアクセスできないようにすることも出来る(詳細は各提供会社やサービスメニューによって異なる)。
もちろんすべての従業員は常識的な人物だろう。しかし人間である以上、うっかりミスは必ずあるし、「良かれと思って...」やってしまう失敗もある。
そういったリスクに対しても準備しておくのが企業の情報セキュリティなのであり、法人向けサービスを選択すべき理由でもある。
会社の仕事を、従業員の個人アカウント(個人で契約しているメールサービスやクラウド・サービスなど)で行わせているとすれば、情報セキュリティの面からすれば、「まるっきりダメ会社」である。その時点で情報漏えいを許容していることになるのである。
