質問

2007年05月26日 01時25分
  • 情報漏洩、個人情報保護の対策はしていますか?

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

ノークリサーチ社のコラムにもあるように、外部からのウイルス対策などは過去に痛い目にあっているので、会社としても対応せざるを得ないので、まあまあ大丈夫の備えをしていますが、内部情報については全く無法地帯です。

個人情報なども個人に任せてますし、USBとかノートPCの持込などについても
決まりはありません。そもそも文書保管の決まりがありません。

何も災難がないので、つまり痛い目にあっていないので、会社としても大丈夫だろうという、安穏とした対応です。

皆様の会社ではどうされていますか?特に運用管理者としては、どういうスタンスでしょうか。アドバイス願います。

4件の回答があります

回答

「社員に恨まれるような経営をしない」が一番の対策じゃないでしょうか。
内部情報なんて その気になれば絶対に破られちゃいますよ。
決まりはいろいろ作れますが 守る/守らないは人間の意志ですからね。
でも決まりは必要です。 細かく書いてもしようがないので「情報管理規定」とかを設定して「情報を扱うにあたり、故意・過失を問わず会社に損害を及ぼし、あるいは及ぼすおそれのある行為を行わないこと」「これらの保護の為にメールもしくは通信回線上の信号を傍受、監視することがある」「個人情報に関しては情報名、媒体、使用目的、管理方法を明記した申請書をooo提出し、運用に関しては管理責任者の許可の元に行う。 この使用目的以外の目的に使用する場合は再度申請し、さらに当該者に対して使用を通知する必要がある。」などという文を入れます。
あとはネットワーク監視装置を入れるとか メールのログを取るとか グループポリシーでUSB使用禁止にするとか 秘文を入れるとか
はカネ次第ですな。
そうそうビルへの立ち入り規制も必要ですね。 出入り口には虹彩認証を付けて...(やりすぎ?)  (どこぞの会社は入口に指紋認証装置を付けたのですがそのとなりの貨物用入り口は開けっ放しで通り放題というバカやってます)  

2007年05月27日 00時25分

回答

社内からの情報持ち出しをシステム的に管理しようとすると、
非常に費用がかかってしまうことが分かりましたので、基本
的には社員全員に守秘義務を記載した書類にサインをして頂く、
社外秘情報の持ち出しの際は、申請書を書いて頂く。という運用
面での対応となっています。

上記運用は総務部が行っており、運用管理者としては、運用の取
り決めの際に参加しましたが、現在はほとんど携わっていません。

2007年05月28日 12時51分

回答

うちの場合も、正直内部管理が無法地帯に近いです。

一応は「社員利用規約」というものを一読の上で、署名・捺印し提出という
書面で情報保護規定を動かしていますが、USBフラッシュメモリ含めて、
実用上はデータファイルの管理が個人任せになってしまっています。

一応ガイドラインっぽくファイルサーバーの決められた場所へ保存という
ふうにはしていますが、社外持ち出し禁止、なシステムにしたところで、
更に管理の行き届かない方法、例えばヤフーのブリーフケースを介して
やり取りされるとかも、ある程度予期していますし、厳しくするにしても、
どことなくイタチゴッコに陥りそうで、非常に苦々しい思いで一杯です。

最近は何とかこれらを払拭できそうなRMSという仕組みに期待を寄せて、
情報収集と試験構築を試みてはいますが・・・。どうなりますやら。

ま、それでも「痛い目」で会社潰れては元も子もないので、損害保険は
掛けてはいます。ま、そのときは金銭云々よりも信用面で「痛い目」を
見ることには違いないのですが・・・。こればかりは、ねぇ・・・。

2007年05月28日 13時39分

回答

わが社も、実質的には無法地帯に該当します(汗
とはいえ、弊社では以下の様なことを実践して、
セキュリティリテラシの創造を行っています。

入退室時の認証システムや「秘文」などの暗号化パッケージは、
インフラ整備に加えて、運用管理という膨大なコストが追加で発生することは否めません。
弊社のような中小企業では、予算のプライオリティ的に、
どうしても先送りになってしまうのが現実です。
そのようなことを行う前に、
まず「人の心にカギをかける」という伏線を引いておくのが有効的だと考えています。

また、「守秘義務契約」に関しては、
定期的に更新をすることで全メンバーに意識させるようにもしています。

以前、ADの導入を機に社内のメンバー毎にアクセス権限を設定しました。
この際、実際は把握できないクライアントの挙動までも
「ちゃんと全てを把握しているぞ」
と、全メンバーにガイダンスを行ったことで、
0(もといマイナスか?)であった社内のセキュリティリテラシを、
幾分か向上することに成功したこともあります。
(実のない脅しみたいなモンですね・・)

なお、USBやノートPCなどの私物を社用で利用することは、内規で認めないこととしています。
同規律の制定に伴い、
各種のクレームや社用資産の増加(予算も・・)などの対応に追われることがありました。
しかし、定着してしまえば、意外と安定したことを覚えています。

ちょっと目線が変わりますが、
「痛い目にあうまでは・・・」というスタンスは非常に理解できます。

しかし、自社的な問題に留まらず、得意先からの要請という意味でも、
セキュリティリテラシーの向上は必須となってくるハズです。
セキュリティインシデンス発生時の損害額などは、
下記のリンク先などを参考にシミュレーションすることも可能だと思います。

セキュリティ担当者という立場から、
あらゆるMTGの場で5分ほどのプレゼン時間を作ってもらってみるのも一考ではないでしょうか?

あなたもコメントしましょう!