テレワークは、業務に関わる情報を社外で利用するため、導入する際には情報セキュリティ対策を基にした情報セキュリティルールを作成する必要があります。最も基本となるルールが自社の情報セキュリティポリシー(*)で、テレワークの有無に関係なく多くの企業や組織が作成していますが、テレワークを導入するにあたり別途考慮が必要です。この記事では、総務省が作成したテレワークセキュリティガイドラインを基にテレワーク導入にあたって情報セキュリティルールを作成する際の役割分担についてポイントをまとめました。
(*)情報セキュリティに関する方針や行動指針をまとめたもの
Contents
テレワークのための情報セキュリティルール作成の目的
テレワーク業務中の「こうすれば情報セキュリティが安全に保てる」というやり方をルールとして定めることで、テレワーカーはルールを守ることだけを意識すれば、複雑な情報セキュリティの脅威を不安に思うことなく自身の業務に集中できます。その結果、社外でも安全に仕事に従事できます。
立場による情報セキュリティルール作成の認識の違い
企業内の立場によりルール作成のために求められる認識や責務が違います。
経営者(もしくは組織上層部)
- テレワーク業務による情報セキュリティ上の事故が、経営に直結した被害につながることを自覚
- 大局的な立場から、経営者の立場でなければできないことを認識
(例:情報セキュリティルール導入・運用に必要な人材・費用を確保) - ルールづくりを積極的に推進する立場
システム管理者
- システム全体を管理する立場という認識
- テレワークのセキュリティ維持に関する技術的対策を講じ、定期的に状況監査する責任
- 経営者へのルール作成の際に必要な情報を提供する責務
テレワーク従事者(テレワーカー)
- テレワーク業務による些細なミスや内部不正行為が大きな企業損失に拡大するという認識
- 自身で管理する事の重要性を自覚し、ルールを理解する責任
情報セキュリティルール導入の旗振り役(*)
- 情報セキュリティルールを一度策定すれば終わりではない事を認識。
- テレワーク導入後の課題を見直したり、テレワーカーへの継続的な教育・研修を主導する責務。
(*) 企業によって上層部が担当したり、人事やシステム管理者が実質的に行ったりと様々です。
立場による情報セキュリティルール作成の役割の違い
ルール項目をひとつ作成する場合でも、立場によって役割が変わります。ここでは、情報のレベル分けルールを作成する、という例を挙げて、責任をもつ内容が異なることを説明します。
経営者(もしくは組織上層部)
- 社内で扱う情報の重要度に応じたレベル分けを行う。
- テレワークでの利用可否を決める。
- 利用可の場合、取扱方法を定める。
システム管理者
- 分けられた情報レベルに応じて管理設定を行う。
- データへのアクセス制御
- 暗号化の要否
- データの印刷可否
テレワーカー
- 情報レベル分けルールの研修に積極的に参加する。
- 情報レベルと各情報の取り扱いについて理解する。
- 情報レベルに応じたルールに従う。
情報セキュリティルール導入の旗振り役
- 情報レベル分けルールのテレワーカーへの教育・研修を主導する。
- 情報の分け方・管理の定期的な見直しを主導する。
まとめ
情報セキュリティルールは広範囲に渡り網羅的な項目を必要としますが、テレワーカーが全てのルール項目を一度に理解し正しく守る事は難しいと思われます。導入後も、業務効率の低下や新しいセキュリティの脅威など多くの課題発生が考えられます。導入担当者は、そのたびにルールの改善や、最新状況への見直し、継続的な研修を主導する必要があります。そうるすことで、ルールが少しずつ定着し、テレワーカーが情報セキュリティ上安全にかつ効率的に仕事できることになります。
参考
- 総務省 テレワークセキュリティガイドライン第4版
- 以前紹介した【導入担当者向け】情報通信技術(ICT)に関するガイドラインまとめ
