テレワークは、場所や時間を問わず在宅で働ける利便性から、従業員にとって大きなメリットのある働き方です。

しかし、社内規定等が追いつかない状態でのテレワーク導入に、不安を覚えるコンプライアンス担当者、情報セキュリティ対策のご担当者も多いでしょう。

そこで、今回この記事では、自社で安全にテレワークを運用するにあたり想定されるリスクや、リスクを回避するために必要なセキュリティ対策のガイドラインについて、これまで情報セキュリティ講座向け教材を制作してきた弊社が詳しく解説します。

テレワーク導入時に気になるセキュリティについて

テレワークは、働き方の多様性を尊重することができるという大きな利点がありながらも、従業員のPCウイルス感染や情報漏えいのリスクをはらんでおり、実際に企業の顧客情報や個人情報が流出する被害も発生しています。

もし、企業の重要な情報が社外へ流出するようなことがあれば、被害者としてサイバー犯罪に巻き込まれたり、場合によっては加害者として損害賠償問題へ発展することも考えられるでしょう。自社の事業や従業員を守るために、テレワークを導入する際には、適切なセキュリティ対策を行うことが重要です。

テレワークで実際に懸念される3つのセキュリティ問題

実際に、テレワーク導入することによって考えられる3つのセキュリティ問題について、順番に説明していきます。

その１　自宅や公共Wi-Fiのセキュリティ不備

実際に作業で使用するPCデバイスを公共のWi-Fiスポットや家庭内のネットワークへ接続する際は、必ずセキュリティ対策をしなければなりません。

万が一、セキュリティに不備があった場合は、PCのハッキングやウイルス感染などの被害にあう可能性があるからです。さらに、PCデバイス上にある情報のみならず、企業情報から個人情報まで悪用されてしまうリスクもあります。特に、駅構内やカフェ、ファミレス、図書館などの公共施設でフリーWi-Fiを利用する場合は、通信内容を抜き出される可能性が高いため、より一層注意が必要です。

このような問題を防ぐためには、セキュリティ対策が万全な自社で契約している専用のWi-Fiを従業員に使用してもらうなどの対策が求められます。

その２　作業中の第三者による覗き見

カフェや図書館、ファミレス、コワーキングスペースのような公共の場で、PCやスマートフォンを使ってテレワークを行う場合は、第三者による覗き見対策が必要です。

覗き見により、企業の機密情報や顧客の個人情報、メールの内容や業務ツールで使用するパスワードなどが第三者へ渡ってしまえば、世間からの企業に対する信頼失墜へつながってしまいます。覗き見を防止するには、従業員へPC画面に液晶保護フィルムを利用することを義務付けるなどの対策が必須となるでしょう。

その３　情報漏えいのリスク

スマートフォンやプリントなどの紙文書は、誤った取扱方法を実践していると、従業員自身の紛失や第三者の盗難による情報漏えいのリスクが生じます。

不要な外部への持ち出しを基本的に禁止するようにするなどの対策が必要でしょう。また、従業員の個人的な判断で利用した外部のサービス上から、データの破損や情報漏えいが生じた場合も、企業の情報セキュリティ管理の責任が問われます。情報漏えいを防ぐには、データ格納の際に、「ログインパスワードの定期的な変更」や「ファイルへのパスワード設定」など、従業員に対して企業情報使用時のルールをしっかり設けることが求められるでしょう。

テレワークのセキュリティ対策に必要なガイドラインとは

様々なリスクを伴う環境下で、徹底した情報セキュリティ管理や、テレワークの安全性を保持するためには、総合的なセキュリティ対策を行うことが必要です。

総務省の「テレワークセキュリティガイドライン」について

総務省が発表している「テレワークセキュリティガイドライン 第４版」では、以下3つの観点から行う、バランスの良いセキュリティ対策の実施が提唱されています。

・ルールによるセキュリティ対策

・技術的なセキュリティ対策

・物理的なセキュリティ対策

具体的な内容について順番に説明していきます。

対策１　ルールによるセキュリティ対策

ルールによるセキュリティ対策では、機密情報を取扱う際の基本方針や行動指針を策定し、従業員がその方針に基づいて、情報を安全に扱えるようにするための研修等の実施が推奨されています。テレワークを行う際に、情報セキュリティ面の安全性をその都度個々で判断し、対策していくのは効率的ではありません。実際に、従業員自身が自己判断で適切な判断を下すのは難しいでしょう。

そこで、例えば「共有するファイルには必ずパスワードを設定すれば、セキュリティを確保できる」というような、業務のやり方をルールとして定めることが有効になります。従業員がこのようなルールを遵守し、実践することによって、安全にテレワークを行える環境を構築していくことが必要です。

対策２　技術的なセキュリティ対策

技術的なセキュリティ対策では、VPNやウイルス対策ソフト等の利用や、ログイン情報の複雑化、情報の暗号化などにより、取扱うシステムや各アプリケーションのセキュリティ確保を行うことが推奨されています。

セキュリティの確保にあたり、本人認証や端末管理による利用アクセス制限に加えて、「テレワーク運用上のセキュリティ」「ネットワーク上のセキュリティ」「暗号化」がそれぞれ不可欠です。

具体的には、ハードディスク内のデータ暗号化や、安全にウェブアプリを利用するためにセキュアブラウザの活用、ウイルスソフトの定期的なアップデートや、フィッシング詐欺対策などの、技術面での徹底したセキュリティ管理が重要となります。

対策３　物理的なセキュリティ対策

物理的なセキュリティ対策では、従業員と誓約書を交わした上で、会社の備品が収納されている棚の施錠管理や、執務スペースへの立ち入り制限を行い、PCや紙文書、サーバーなど、実体のあるものに対するオフィス同様の管理が推奨されています。

例えば、従業員へ貸与するテレワーク端末の所在や、端末を利用する従業員の名簿管理のために台帳などを活用することも、社内備品の紛失を防ぐことへつながるでしょう。

また、紙文書の電子化を積極的に進め、社内のペーパーレス化を促進することにより、従業員の持ち出しによる盗難や紛失を未然に防止することができます。

さらに、データの持ち出しに関しては、技術的なセキュリティ対策と併せて管理を徹底することが必要です。

それぞれ、機密情報を取扱う際の行動指針の策定や、ウイルス対策ソフトの利用等によるセキュリティ確保、書類や端末の防犯対策など、様々な観点から必要と考えられる対策について方針を示しています。

企業がテレワークに対する自社独自の指針を作成する際に、参考となる資料として、このガイドラインを活用することができるでしょう。

対策４　自社のテレワークセキュリティガイドラインを策定してルール化

テレワーク導入時には、情報セキュリティに対する組織として、統一性のある基本方針や行動指針を定め、業務上遵守すべきポリシーを明文化した自社独自の実践的なテレワークセキュリティガイドラインを策定することを推奨します。

対策５　情報管理の実践的なセキュリティルールを策定

自社のセキュリティガイドラインに求められるのは、実践的な情報管理における行動ルールの策定です。

例えば、以下のように従業員がテレワークを行う際に実践するべき行動をルール化していきます。

・オフィスから外部へPCを持ち出す際の管理方法

・紙文書を外部へ持ち出す際の台帳での管理方法

・電子データやファイルの保存方法

・在宅の作業環境やPCの管理方法

・アプリケーションソフト等のインストールの条件や可否

・クラウドサービス利用の条件や可否

行動をルール化することにより、在宅でテレワークを行う従業員が、情報管理に対する責任感を意識しやすくなり、より安全な環境で業務に取り組むことができます。また、現在普及しているSNSサービスについても、従業員に向けたガイドラインやルールを策定し、留意事項を明文化しておくことで、情報セキュリティに対する従業員の意識を、より強固なものにすることへ繋がるでしょう。さらに、従業員が日頃セキュリティに関する知識をしっかり習得していれば、悪質なサイバー攻撃やフィッシング詐欺などの被害を回避しやすくなります。

（従業員にルール遵守を意識づけ））

従業員への意識づけがしっかりとできていない状態で、セキュリティガイドラインや情報セキュリティに関するルールを策定するのは意味がありません。情報セキュリティ遵守の重要性について、従業員一人ひとりに理解を深めてもらい、浸透させていくことが不可欠です。テレワークは、オフィスから目の届きにくい環境下で作業を行うため、セキュリティ上のルールを遵守する意味や責任に対する従業員自身の自覚が、作業時の安全性を左右します。仕組みや制度化を進めるだけではなく、テレワークを行う従業員自身がガイドラインやルールを確実に遵守し、セキュリティ対策を意味のあるものにするためにも、従業員一人ひとりにメールなどを通して通知を行ったり、社内で定期的な研修や啓発活動を導入することが必要です。

弊社では、情報セキュリティやコンプライアンスなどを題材とした、学習者に「意識付け」をさせるアニメーション教材を制作しています。