監視する企業と監視される社員
※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/11/26号)」に掲載されたものです
高まる個人情報漏洩対策
25日夜、NHKの報道番組クローズアップ現代で「監視される社員たち?進む情報流出対策?」という特集が放映された。ゴールデンタイムに「情報漏洩問題」がメインテーマとして取り上げられるということで、一般にも情報漏洩の深刻さについてかなり浸透してきたと言える。
しかし、今回の主題は、正確に言うと「情報漏洩の怖さ」より、むしろ「情報漏洩防止」を理由に企業内で実施されている「社員の監視」についてまとめたものだった。
ご存じの通り、新しい個人情報漏洩対策ソリューションが日々発売されている。従来はセキュリティ製品といえば、外部攻撃防御型製品が中心だったが、個人情報漏洩の約8割は内部犯行とも言われており、内部犯罪抑止型の製品も数多く登場している。
内部犯罪抑止型の製品もさまざまな種類がある。高度な認証機能により利用者を制限する製品もあれば、内部社員の行動を厳しく監視し、記録、違反者が出た場合にアラートを出すような「監視装置」もある。NHKの特集はこの「監視装置」の現状について取り上げるものだった。
性悪説
監視ソリューションでは、PC上のすべての動作が記録される。なかには、どのような作業を行っているかリモートのデスクトップ上で表示できるソフトすらある。これらソフトを用いて、社員の挙動すべてを監視している。
たとえば、機密情報や個人情報へのアクセス、アウトプット作業などはもちろん、ホームページへのアクセス、メールの私的利用まで、コンピュータ上の操作すべてが記録、監視される。「社員にプライバシーはない」として、誓約書を取り付けた企業さえあるというから驚きだ。
企業の一部では、情報保護の動きに留まらず、業務の進捗状況の監視に用いられるケースが出始めているという。上司は部下がPC上でどのような作業を行っているか監視し、常に「サボっていないか」「無駄がないか」監視するというのだ。
信頼関係崩壊の影響
しかし、問題はそれだけではないだろう。社員にもプライバシーはある。行き過ぎた取り締まりは「労務闘争」へ発展する可能性もある。監視されていることを理由にノイローゼなど体調を崩せば、やはり損害賠償問題へ発展することもある。誓約書があったとしても、問題となれば、情報収集における合理性が問われるだろう。
しかし、この監視問題においては、法的問題よりもむしろ「社員と会社間の信頼関係崩壊」こそが大きな問題ではないだろうか。
内部犯行による漏洩事件が多発する背景として、「雇用の流動化」「終身雇用の崩壊」などが挙げられる。生涯の雇用が保証されていた従来の雇用体系と異なり、現在のサラリーマンは、つねに「リストラ」というリスクにさらされている。
これだけでも不安定な状態であるのに、企業から信頼しないと常にカメラやパソコンの状況が監視される。社員にとっては大きなストレスとなるだろう。「犯罪者」と同等の扱いと解釈されれば、ただでさえ低い会社への忠誠心はますます低下し、社員の「やりがい」が阻害され、生産性へも影響がでるだろう。
以前、コラムで書いたが、セキュリティは手間やコストとのトレードオフで成り立っている。そこへ、さらなる精神的な負担を強いれば、業績へ悪影響を与えかねない。
コメンテーターの牧野二郎弁護士も指摘していたが、経営者の欲望として「最大限の作業効率を出したいという欲求」があるが、これを追求していけば、無限ループに陥ってしまう。監視する専門部署を設ければ、その部署の動きを監視する組織を作らねば安心できない。こうなると、疑心暗鬼の固まりとなってしまう。
企業の経営者と従業員の信頼関係がない企業、その企業の製品を購入したいと思うだろうか? 番組を見ていたら、そんな疑問も沸いてくる。
しかし理想主義じゃ生き残れない
とはいえ、現実問題として、個人情報保護指針を用意し、あとは「社員をひたすら信じて裁量に任せる」というわけにもいかない。それでは、一定の確率で情報漏洩事件が発生すると予測される。
デジタルフォレンジックなど、法的なエヴィデンスなども用意することが重要となっている今、まったく監視などを行わないことはあり得ないのかもしれない。
セキュリティ業界では「性悪説」よりむしろ「性弱説」という言葉が良く使われる。人間はちょっとした魅力によって、意志を変えてしまう「弱い面」があるということだ。
社員が「悪」というわけではない。人間誰もが「弱」であるということを前提として理解し、「弱さ」を克服する方法を模索することが重要ではないかということだ。
まずは、社員による自主的な漏洩防止活動を盛り上げることだ。漏洩防止や現場環境の向上、脆弱性の発見、犯罪抑止など、漏洩防止の取り組みは企業への貢献と捉え、評価制度を設けたり、インセンティブを用意することが有効だ。
それぞれの利益が一致することで、前向きに取り組むことができるし、セキュリティが向上した際の達成感など、仕事の「やる気」にも繋がる。また、これら目標が用意されていれば、監視ツール等の導入に関してもある程度の理解を得られるだろう。
企業全体の監視となれば、多大なコストが発生するが、社員の協力が得られ、必要に応じたツールを導入することで、コスト削減に繋がる可能性もある。また、生産性への影響も押さえることができるだろう。
企業としてトータルコストはどちらが有利なのか。シミュレーションはもちろん、現場の社員から良く意見を聞いてみることが重要だ。
社員の情報も大切に
社員の個人情報は、保護の対象となるものだ。社員に対して、情報を収集するならば、利用目的の明示をしなくてはならない。また、利用目的外に勝手に利用すれば、個人情報保護法違反となる。当然、収集したデータについても、保護しなくてはならない。もし問題があれば、社員から会社が訴えられるケースも出てくるだろう。社員の個人情報と顧客の個人情報の重さは同等であることを忘れてはいけない。
(Security NEXT - 2004/12/02 )
ツイート
PR
関連記事
住基台帳事務を放置、支援措置対象者の個人情報が流出 - 新潟市
「Versa Director」に深刻な脆弱性 - 「DB」の規定パスワードが共通
文字列関数のバグを自動修正する技術 - NTTと早大が共同開発
アンケートメール誤送信でメアド流出 - 子ども支援団体
協力工事会社のファイルサーバに不正アクセス - 東電グループ会社
熊本暴追センターでサポート詐欺被害 - 相談者情報流出の可能性
DDoS攻撃件数は減少するも、最大攻撃規模は拡大 - IIJレポート
スポーツCSチャンネルの通販サイトが改ざん - 個人情報流出の可能性
三越伊勢丹の宅配サービスにPWリスト攻撃 - 不正注文などに注意喚起
WordPress向けスパム対策プラグインに複数の脆弱性 - すでに攻撃も