緊急措置的に導入したテレワークの運用を見直す際のセキュリティに関する調査事項
IT・情報セキュリティ当社ではコロナ禍を機に急遽テレワークを導入しましたが、導入にあたり十分に検討や準備の時間をとることができませんでした。緊急措置的に導入したテレワークについて、恒常施策へ切り替えることも念頭に、運用を見直すにあたり、どのような事項について調査を実施するのが適切でしょうか。
緊急措置として導入したテレワークについては、主にセキュリティ面の調査項目を検討して調査する必要があります。また、テレワークを恒常施策に切り替えるためには、本来導入のために必要とされるプロセスを前提とした調査項目を検討して調査するのが適切です。
解説
はじめに
近年、働き方改革の一環として、従業員が情報通信技術(ICT:Information and Communication Technology)を利用して事業場外で勤務するテレワークが、時間や場所を有効活用できるとして注目されており、新型コロナウイルス感染症の拡大を契機にその利用は急速に広まっています。そして、コロナ禍の収束が見込めない状況の下、業種業態により比重の多寡はあれ、テレワークを恒常施策とすべきことは、社会全体の共通課題と認識されています。
そこで、本稿では、コロナ禍を機に緊急措置的に導入したテレワークの運用を見直し、また恒常施策に切り替えるに際し、その準備作業として検討すべき調査の項目について解説します。
緊急措置的に導入したテレワークを恒常施策に切り替えるための調査項目 1
セキュリティ面の調査項目
十分なセキュリティ対策を講ずる間もなく、緊急措置としてテレワークを導入した場合、マルウェア(ウイルス等の悪意のあるソフトウェア)への感染や、端末の紛失・盗難、外部からの不正アクセス等、業務運営の停滞や情報漏えい等につながるリスクは看過できません。また、セキュリティ対策の不備は、個人情報保護法上の安全管理措置義務(同法20条)や従業者の監督義務(同法21条)との関係でも問題となります 2。
そこで、テレワークを導入した部署や従業員に対し、セキュリティ面について、①取扱情報など業務内容の観点と②技術的・物理的セキュリティ対策の観点の2つの側面から、以下の項目について調査することが考えられます。
- 個人情報の取扱状況、保存方法
- 営業秘密の取扱状況、保存方法
- 1および2以外の重要情報の取扱状況、保存方法
- 支給外端末の利用実態
技術的・物理的セキュリティ対策に関する調査項目
- セキュリティ対策の状況
- ネットワークの接続、使用の状況
- 端末紛失時の対策の状況
- 無許可ソフトウェアのインストールの状況
- マルウェア感染の有無
(1)取扱情報などテレワークの業務内容に関する調査項目
- 個人情報の取扱状況、保存方法
- 営業秘密の取扱状況、保存方法
- 1および2以外の重要情報の取扱状況、保存方法
- 支給外端末の利用実態
まず、取扱情報などテレワークの業務内容に関する調査項目としては上記が検討できます。1から3については、テレワークにおいて個人情報や営業秘密などの重要情報の取扱いがあった場合、情報漏えい等のリスクの範囲と可能性を確認するために、その取扱状況や保存方法について調査することが必要です。
具体的には、以下の事項などが調査すべき事項として考えられます。
- 取り扱った情報の具体的内容
- 取扱情報を用いた業務の内容
- 各情報を取り扱った端末(支給端末・支給外端末の別、パソコン・スマートフォン等の端末の種類、など)
- 各情報の保存場所・方法(電子データの場合には、使用端末自体への保存か、USBメモリへの保存か、リモートデスクトップ方式等を用いたオフィス端末内への保存か、クラウド内への保存か。紙媒体の場合には、自宅での保管場所・保管状況など)
また、上記4は、テレワークに際し従業員所有の私物端末など会社支給以外の端末(以下「支給外端末」といいます)の使用を許可していた場合などに調査が必要となる項目です。
職務遂行における支給外端末の使用については、主に従業員所有の私物端末を念頭においてBYOD(Bring Your Own Device)と呼ばれ、BYODには、コストが低く抑えられたり、従業員が使い慣れた端末で職務遂行できたりするなどのメリットがあります。
この点、業種業態により傾向は異なるものの、東京商工会議所「テレワークの実施状況に関する緊急アンケート」の調査結果によれば、会社支給端末との併用もあわせると支給外端末の使用割合は43.4%、特に緊急事態宣言の発令以降からテレワークを開始した企業では49.6%に及ぶとされています 3。
一方、支給外端末はセキュリティ対策が不十分になりがちであり、企業の管理が及びにくく、その検証が困難であるなどの問題点もあることなどから、調査が必要と考えます 4。ただし、支給外端末そのものを提出させて調査することは、一般には困難であり、その具体的な調査方法については改めて別稿で詳説します。
(2)技術的・物理的セキュリティ対策に関する調査項目
- セキュリティ対策の状況
- ネットワークの接続、使用の状況
- 端末紛失時の対策の状況
- 無許可ソフトウェアのインストールの状況
- サイバー攻撃を受けた形跡の有無
次に、技術的・物理的セキュリティ対策に関する調査項目としては、上記が検討できます。
上記1のセキュリティ対策の状況については、ウイルス対策ソフトの導入の有無や、当該ソフトの更新、最新化の状況、各情報の保存場所に関するアクセス権限やセキュリティ状況などを調査することが考えられます。
また、上記2のネットワークの接続、使用の状況については、自宅インターネット回線を使用していたか、公衆Wi-Fiに接続したか否か、また通信情報の暗号化の有無などの調査が想定されます。
さらに、上記3の端末紛失時の対策の状況については、リモート操作による端末内情報の削除の可否や、端末のパスワード設定の有無、紛失時の対応マニュアルの有無などの調査が検討できます。
そして、上記4の無許可ソフトウェアのインストールや、上記5のテレワークで使用した端末へのサイバー攻撃を受けた形跡の有無(たとえば、マルウェア感染の有無など)を調査することも必要と考えます。
本来の導入プロセスを前提とした調査項目
本来、テレワークの導入に際しては、職務遂行の効率化や合理化の観点から、必要なルールを策定し、ICT環境を整備するとともに、上記した情報漏えい等のリスクに対処するためのセキュリティ対策を実施するなど、あらかじめの準備検討が必要ですが、緊急措置的にテレワークが導入された場合、これらの精査が不十分であるのが通常です。
この点、テレワーク導入については諸種の解説が示されていますが、一例として、厚生労働省作成のガイドブックには、下図のような導入プロセスが紹介されています。
緊急措置として導入したテレワークを恒常施策に切り替えるためには、2-1で示したセキュリティ面の調査項目に加え、上記例なども参考に、本来の導入プロセスを前提として調査することが検討できます。こうした、本来とるべきテレワークの導入プロセスや調査事項については、Withコロナ、Afterコロナ時代の業務の在り方も念頭に、改めて別稿で詳細を解説します。
まとめ
本稿では、緊急措置として導入したテレワークについて、恒常施策への切り替えも念頭に、運用を見直すにあたっての調査項目について解説しました。次稿では、本稿で示した調査項目の調査方法について、特に、支給外端末についての調査の限界を検討するとともに、それを踏まえた調査方法について詳説します。
-
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が公表する「緊急事態宣言解除後のセキュリティ・チェックリスト」(2020年5月19日、2020年7月29日最終閲覧)やその「解説書」(2020年6月12日、2020年7月29日最終閲覧)では、詳細に調査項目が挙げられ、調査の趣旨についても解説されています。 ↩︎
-
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月、平成31年1月一部改正)において上記各義務との関係で事業者が講じるべき措置の内容について言及がされています(安全管理措置義務については同ガイドライン3-3-2、「8(別添)講ずべき安全管理措置の内容」参照。従業者の監督義務については同ガイドライン3-3-3参照)。 ↩︎
-
東京商工会議所「「テレワークの実施状況に関する緊急アンケート」調査結果」(2020年6月17日)7頁。 ↩︎
-
内閣サイバーセキュリティーセンター「テレワーク等への継続的な取組に際してセキュリティ上留意すべき点について」(2020年6月11日)で示されている支給外端末の利用に関する確認ポイントも参考になります。 ↩︎
弁護士法人片岡総合法律事務所
- コーポレート・M&A
- 人事労務
- 危機管理・内部統制
- 訴訟・争訟
- ベンチャー
弁護士法人片岡総合法律事務所
弁護士法人片岡総合法律事務所