2020年4月7日に、政府から新型コロナウイルスの流行に伴う緊急事態宣言が一部地域で出され、オフィス勤務から在宅勤務に切り替えて、事業を継続している企業も多いでしょう。日本経済団体連合会の調査(2020年4月21日発表)によると、同調査に回答した406社のうち、なんと97.8%の企業がすでにテレワークや在宅勤務を取り入れているといいます。
しかしながら、不安もあるようです。同調査によると、緊急事態宣言が発令された後、在宅勤務を導入・拡充するに当たり最も障害だった事項の1位に、「情報管理上の懸念」がランクインしています(74.8%)。従来はオフィスをメインに仕事をしていたのが、急に社外、それも個人宅での仕事がメインになることで、ビジネスの重要な情報が漏えいしてしまわないか、情報セキュリティが気がかりな企業が多いことがわかります。
そこで今回は、在宅勤務で陥りがちな情報セキュリティの落とし穴と、情報漏えいを防ぐための方法を、法律の観点も交えながら解説します。
在宅勤務では、従業員の私物のPCを業務に使っても大丈夫?
先のアンケートで懸念する声があったように、在宅勤務における最大のリスクは、情報漏えいにあります。
営業情報が漏えいした場合、企業の信用が失墜するのはもちろん、取引先や株主から損害賠償請求を受けるおそれがあります。顧客の個人情報が流出した場合には、個人情報保護法違反として罰則の対象となります。さらに、GDPR(EU一般データ保護規則)違反が指摘された場合は、巨額の制裁金を課されるリスクが生じます。
もしかすると、急な在宅勤務に間に合わせるため、従業員の私物のPCを業務に使用しているケースがあるかもしれませんが、基本的に避けておいた方が良いでしょう。たとえ会社としてウイルス対策ソフトのインストールを義務づけたとしても、実際に従業員の端末にインストールされたかどうかは確認できませんし、私物のPCである以上、業務時間以外でどのように使うのか、使用範囲は制限できません。
「ちょっとくらい、仕事で使ってもいいじゃないか」と思うかもしれませんが、それが落とし穴になる可能性もあります。たとえば、私物のPCがマルウェアに感染していた場合、ダウンロードした業務における機密資料が、マルウェアによって意図しない形で拡散されてしまうというケースも考えられます。
さらに、私物のPCが、Windows Vista、Windows 7、Windows XPのような、既にセキュリティ更新プログラムのサポートが終了しているOSを搭載しているのであれば、マルウェアに感染するリスクはより高くなります。
どうしても私物のPCを使うのであれば、利用できる機能をWebブラウザで使えるクラウドサービスに限定したり、自宅からオフィスのPCを遠隔操作することで私物のPCにファイルをダウンロードしない「リモートデスクトップ」を利用するなど、事前に使用上のルールを設けておくことが大事です。
