そこで今回は、発見デリバリーで公開されている座談会記事「新しい働き方に求められる機密文書の管理とリスクマネジメントとは?」から見えてくる、中小企業を中心とした今すぐに始められる情報漏洩対策について解説していきます。
機密情報の取扱いが複雑化し情報漏洩リスクが急騰。リスクの芽はどこに発生している?
オフィスにとらわれない働き方や業務のDX化の導入、e-文書法や電子帳簿保存法といった法定書類の電子保存を認める法律の浸透などによって、契約書類をはじめとした機密文書の発行や受け渡し、管理・保管といった一連のフローがオンライン完結するケースが増えてきました。その一方で、業界の慣習や法律で義務となっている書類、得意先や顧客からの要望があった書類などは、依然紙媒体が利用されており、多くのビジネスパーソンは現在、オフィスとそれ以外のワークスペースで「紙文書」と「デジタル文書」という異なる形式の機密情報を管理・保管・破棄しなければならない煩雑な状況に直面しています。
この状況は、単に機密文書の管理・保管・破棄が煩雑になっただけではなく、機密情報漏洩のリスクがグンと高まったことも意味しており、企業やマネジメント部門の担当者は、事故を未然に防ぐためにも早急な対応が必要になっていると言えるでしょう。
次項からは、社外に機密情報を持ち出す際に、どのように情報漏洩対策・リスクマネジメントを行えばよいのかを解説していきます。
「機密情報をデジタルで管理して紙では持ち出さないルール」でリスク対策を行う
社外に機密情報を持ち出す際のリスクマネジメントとして、最初にすべきことは「ルールづくり」を行うことです。先の座談会記事で、ヤマト運輸株式会社で法務を担当する石井勇策さんが、「DXや法改正への対応が先行するあまり、情報漏洩リスクに対するルールづくりが追いついていないケースも見られる」と語っていたように、情報漏洩の呼び水となっている大きな要因の一つは、「機密情報の取り扱いのルールが定まっていないこと」にあります。
つまり、情報漏洩リスク対策で重要になるのは、まず社外に機密情報・文書を持ち出す際の社内ルールを定めること、そしてそのルールを行動指針として運用していくことになります。
ここからは、機密情報・文書を社外に持ち出す際のルールづくりのポイントを、①管理・保管、②破棄と分けて見ていきましょう。
① 機密情報・文書の管理と保管
座談会で株式会社パワーインタラクティブの砂智久さんが、「紙で運用している機密文書は、情報漏洩のリスクが高く、常に慎重に取り扱わなければならない」と語っていましたが、確かに紙文書を社外に持ち出すことで生じるリスクは、デジタル文書と比べて高く、自宅等で機密文書を管理・保管するのは、かなりリスキーなことと言えるでしょう。
そんな紙の文書が孕むリスクを回避するための対策は、デジタル管理です。
管理・保管のプロセスでは、「社内クラウドなどのデジタル管理・保管を基本として、紙では持ち帰らない」というルールをつくって運用してみましょう。
「デジタル管理&紙での持ち出しNG」を基本ルールにすることで、紙文書の情報漏洩リスクの芽を摘むことができるほか、管理・保管方法が統一されることによって業務の煩雑化の緩和も期待できます。
② 機密情報・文書の破棄
リモートワークの情報漏洩対策で大きな懸念の一つに挙げられるのが、機密文書の破棄。デジタル管理であれば、操作履歴も残せるため、利用しているシステムの運用方法に従って破棄すれば問題ありませんが、どうしても紙でなければならない書類も存在し、それらを自宅で確実に処理するのは、なかなか難しいものです。
座談会においてファイナンシャルリバティ株式会社の石井康夫さんも、「コロナ前はオフィスのシュレッダーで毎日処理できたが、リモート化で出勤数が減ると、廃棄する習慣を忘れがちになる」と、その課題を挙げていました。
そのような課題を解決するには、運送会社などが提供する「機密文書回収サービス」を利用する方法がオススメです。
機密文書の廃棄方法について詳しく知りたい方は、こちらをご覧ください。
機密文書の正しい分類と廃棄方法とは?他人事ではない情報漏洩防止のために今やるべき対策をご紹介
機密文書の廃棄のルールづくりは、「いつ、どのような形で廃棄するのか」を明確にすることが重要です。オフィス以外で紙文書を廃棄する際は、安全性や確実性を担保するためにも「必ず機密文書回収サービスを活用する」というルールも設けておくとよいでしょう。
運用ルールの「明確化」と「共有」でリスクマネジメントを強化していく
情報漏洩対策の行動指針となる明確なルールや運用方法が定まった後は、次のような方法で社内スタッフに共有していき、情報漏洩回避への行動を徹底させていくことで、より確実性の高いリスクマネジメントが実現します。① 最初に大きな方向性を共有する
ルールや運用方法を共有する際は、「自社がどのような機密情報を取り扱っているのか」「漏洩によって自社や個人にどのようなリスクが生じるのか」「それを避けるために、管理・保管・破棄のプロセスでどのような運用を行っていくべきなのか」といった大きな方向性から共有するようにしましょう。方向性の共有後は、その方針に沿った運用を進めていき、現場の状況や個々のケースをフィードバックして細部を詰めていけば、より柔軟で実用性の高い運用ルールが完成します。
② 従業員がデジタル化しやすい環境にシフトしていく
「機密情報はデジタル管理・保管を基本として、紙では持ち帰らない」というルールで、リスクの高い紙の書類を減らしていく上で、クラウド環境の確保など、従業員がデジタル化しやすい環境を整えておくことも重要です。
従来はオフィスに行けば、ファイルボックスへの提出や押印による確認など、物理的な書類管理が可能でしたが、今後はオフィスを減らしていく時代。収集、配布、承認、発送、保管、廃棄などのフローを、少しずつでもデジタル化していくことで、紛失や漏洩のリスクも減らしていけるようになります。
リスク対策は重要課題であるものの、業務としては後回しになりがちな領域です。しかし、機密情報は、いつどこから漏洩してしまうかわからないもの。情報漏洩のリスクが格段に高まっている時代であるからこそ、私たちは機密情報・文書の取り扱いに危機感を持って、万全の準備と対応をしていく必要があることを忘れてはなりません。
情報漏洩のリスクヘッジとして行うべきは、ルールや運用方法の「明確化」と「共有」を進めた上で、デジタルの活用や運用方法も含めた機密情報の管理・保管・破棄の実施状況を定期的にチェックし、状況の変化に応じて管理・保管・破棄の各プロセスの最適化を行っていくこと、そしてそのリスクマネジメントの体制を確立することです。リスクの高い機密文書については、紙とデジタル両方で、マネジメント体制を強化していくのもよいでしょう。
機密情報が漏洩してからでは、すでに手遅れ。そうなる前に、今すぐ情報漏洩のリスクマネジメントに着手し、安心・安全を確保できるように準備を進めていきましょう。
