情報漏洩とセキュリティポリシーについて管理者が知っておくべきこと

BYOD（Bring Your Own Device）とは、従業員が個人所有の携帯端末を職場に持ち込み、それを業務に利用することですが、BYODという言葉が広がる以前から、多くの企業は私物のPCの持ち込みや業務利用を制限してきました。しかし、スマートフォンやタブレットに代表されるコンシューマー向けデバイスがビジネスの分野に急速に流入し始め、企業経営者や情報管理者は潜在的な情報漏洩リスクへの早急な対応を迫られています。

情報漏洩リスクは逸失利益の多寡を中心に考える

一般的に情報漏洩事故は、明らかな故意により実行される場合と、発生を予見できない過失によってもたらされた場合の2種類に分類することができます。

しかし、情報漏洩によって企業が被る逸失利益の多寡という観点では両者による差異はほとんどありません。逸失利益の多寡と直接的な関連性があるのは情報の重要性だからです。

セキュリティポリシーの策定はデータの重要性を中心に、事業環境の変化も配慮

情報の重要性は時間の経過、定期的に行われる組織変更、あるいは外的要因による事業環境の変化に追随する性質を持っています。そのため、セキュリティポリシーはこれらの変化に合わせて重要度ごとに策定しなければなりません。しかし、残念ながら、現在多くの企業が定めているセキュリティポリシーではこの性質が反映されていません。

PDCAサイクルによって定期的に実施される監査プロセスにおいて、“情報の重要性の更新”という工程を組み入れることで、情報漏洩リスク管理によって企業の逸失利益を軽減させるという本来の目的を達成することができます。

では、実際に情報漏洩のリスクマネジメントを推進するうえでは、どのようなことが問題になってくるのでしょうか。

企業の多様性とBYOD、その意外な関係性

シスコ社が発表したBYODの導入状況と情報漏洩リスクの関連性についての調査結果を参考に見てみましょう（「Data Leakage Worldwide: Common Risks and Mistakes Employees Make」）。この調査から、企業経営者や情報管理担当者が認識すべきことは、以下の２点に集約されます。

1. BYODの導入により利便性が高まると、組織内に内包する潜在的な情報漏洩リスクが増加する

2. 国や地域、あるいは習慣や文化による差異は、BYODのルールにも影響する。これらの差異を他人事として片付けてはいけない

1番目は先に述べた通りです。ここでは、2番目の問題に注目してみたいと思います。

国や地域、あるいは習慣や文化の差異とは、従業員のバックグラウンドの「多様性」を指します。シスコ社の発表した調査結果は、規律の遵守やグレーゾーンに対する従業員のマインドの差異が、こうした多様性に基因していると指摘しています。

しかし、こうした多様性は何もワールドワイドに事業展開を行っている企業だけに関係する特別なことではありません。

新卒と中途採用、あるいは雇用形態や就労形態など、一般的な企業においても多様性は存在します。たとえば、様々な部署が存在する本社と営業職だけで構成される営業所が存在するというのも企業が内包する多様性の1つです。

一般的に多様性は新しい企業価値を創造する肯定的な要素として捉えられる傾向にありますが、内部統制的な観点からはセキュリティリスクを生む要素になっていると言えます。多様性への対処には思慮深さが必要となります。

企業文化の醸成が多様性の課題を克服し、セキュリティポリシーの前提となる

昨今、企業文化の重要性を説く経営者が増えてきました。興味深いことに伝統的な企業よりも急成長を遂げた企業の若手の経営者に多くみられます。彼らは「企業文化の醸成は企業の成長を持続させるために必要不可欠」だといいます。

実は、データの保全という観点からも、「企業文化の醸成は必要不可欠」といえるのです。BYODの普及は企業の情報システムにおいて多様性が生じたことを意味しますが、先ほど触れたように、それがセキュリティリスクを生む一因ともなっています。そのとき、企業文化の醸成が、この多様性から生じる課題を克服するカギとなります。

なぜならば、企業文化とは様々なバックグラウンドを持つ従業員が共有する価値観であり、強い企業文化は、セキュリティポリシーやその他のルールの大前提となるものだからです。これらの視点で一度、自社のセキュリティポリシーを見直してみてはいかがでしょうか。