設備経革広場

TEL:03-5821-9761

お問い合わせ

コラム

情報セキュリティコラム

第2回「情報せきゅりてぃ」ってなんですか?(後編)

情報セキュリティの具体的な対策
具体的な対策を決める際には、情報の盗難、紛失、破壊などがどのようなシーンで起こりやすいか想像してみましょう。例えば以下の図ように、仕事の流れと情報の動きで考えると危険な箇所を見つけやすいです。
こうして情報漏えいが起こりそうなシーンが特定できたら、それぞれについて次の4種類の対策を検討してみましょう。
1. 会社全体の対策では、まずは次のようなルールが必要です
  • 情報セキュリティの責任者を決めておき、社内に周知しておく。
  • 情報漏えい対策のルールを社内で統一する。
    情報漏えい対策には色々な手段があるので、どれを選択するか決め、周知しましょう。
    また、定期的に対策の効果や実施を点検して、必要があれば柔軟に変更することも大切です。
  • 漏えいが起きたときの社内緊急連絡網を作る。また、取引先担当者や最寄り駅や交番の電話番号など、置き忘れや不審者侵入など緊急時の連絡先や担当者を決めておく。
2. 社員と外注先への教育や監督
  • 情報漏えい対策は、社員への教育と監督が最も大切
    何が機密情報か社員に教えることから始めます。社内ルールを教えます。
    例えば、怪しいメールは開かないなど、注意すべき点を教えて、実際にできるようにしましょう。日頃の行動をお互いにチェックし、ケアレスミスを無くす仕組みをつくりましょう。
    社内ルールでは以下の対策が考えられますので参考にしてください。
    • 机の周辺に書類を無造作に置かない
    • 機密情報は施錠保管する(引き出し、保管庫)
    • FAXやプリンターに原稿を残さない
    • 不審な侵入者をチェックできるようにしておく(名札、挨拶)
    • 捨てる時はシュレッダーか、細かく破る
    • パソコンのハードディスクや、USB、CDを捨てるときは物理的に破壊する
    • 机の配置を変える、書類を裏面にする、スクリーンセイバーを設定するなどで覗き見を防止する
    • 情報が記録された紙は裏紙として再利用しない
    • 社用スマホには仕事と関係ないアプリをダウンロードさせない(パスワードを教えない)
    • SNSに仕事内容の書き込みや写真投稿をさせない
    • 飲み屋や電車内などで大切な話をしない
    • 在職中はもちろん退職後も効力のある秘密保持契約を締結する
なお、個人情報保護法では社員への教育・監督が義務付けられているので、これを怠ると法令違反になるので注意が必要です。
  • 社員と同じレベルで、職人さんや材料屋さんにも教育、監督します
    • 不要な情報は渡さないことが第一歩です
    • 取引中はもちろん取引終了後も有効な秘密保持契約を締結する
3. 情報を記録した紙媒体やパソコンなど目に見えるものを盗難や破損から守る対策
  • 事務所や保管庫の施錠(盗難防止)
  • ノートパソコンや紙媒体の施錠保管(盗難防止)
  • サーバやPCの設置場所の工夫(火災、地震、自然災害の破壊防止)
  • パソコン、スマホ、USBを持ち運ぶ際はパスワード(置き忘れ、紛失防止) など
4. データなど目に見えない情報の漏えいを防ぐ対策
  • PCの起動パスワード、ウェイルスソフト(パターンファイルの自動更新、常時監視)
  • OS修正プログラムの自動更新
  • データのバックアップ、無停電電源装置
  • 定期的なアクセスログのチェック
  • メールの添付ファイルやUSBにパスワード など
もちろん、どんな手段を使っても情報漏えいを完全に防止することはできません。
それぞれどこまでやるかは、漏えいしたときの損害の大きさや、漏えいの起こりやすさを考慮して決めるようにしましょう。実態とかけ離れた過度な対策は業務効率の低下や顧客サービスの妨げになるので、仕事のしやすさとセキュリティの強さのバランスを見ながら、どこまで手間やコストをかけるかを検討しましょう。

もし、対策にかかる手間や費用が莫大な場合や、どんな手段でも防止できない場合はどうすればよいでしょうか?そのようなときは、あえて対策はせず、情報漏えい事故が起こってしまった場合の損害を補償する保険に加入しておくのも究極の選択です。

次回以降、このコラムでは、設備工事業の皆さんの情報セキュリティに役立つツールや、ご同業様の取り組みなどをご案内します。

岡本 光

株式会社シード・アンド・アーキテクチャー 代表取締役
経済産業大臣登録 中小企業診断士、JAPHIC審査員補
中小設備工事業の経営全般について10年にわたり助言と支援を行っている。
個人情報保護法の全面施行(2005年)以来、入札条件や取引条件で情報セキュリティ対策を要求される中小・小規模企業が急増したことを契機に情報セキュリティ対策や個人情報保護対策の助言、支援に取り組む。教科書的なIT導入や、身の丈に合わない堅牢なルールを押し付けるのではなく、会社の実態や許容リスクに見あった情報セキュリティ対策を助言、提案している。

全国設備業IT推進会とはサービス内容推進メンバー登録組合リストプライバシーサイトマップお問い合わせ