社内の安全化を徹底するには、作業自体は難しくもないですし、一旦制度ができたら、その後は継続させるだけです。ではその実行方法とは、どのようなものなのか簡単に実践できる3ステップをお伝えします。
社内の安全化のレベルはどれくらい?
中小企業やベンチャー企業の社内で、情報がどのように扱われている状態が危険なのでしょうか?大事な顧客情報や企業機密は、しっかり守れていると言えますか?まずは考えらえれる問題点を洗い出します。
会社、あるいは経営者が持つ重要な経営情報を管理できていますか?
例えばオフィスで、自分のデスクの上だからと思って、会社の機密情報や顧客情報が書いてある資料がむき出しになって置いてありませんか?社員がそこから情報を見ることがなくても、経営者のその情報管理の意識が社員にも伝染します。会社に関するデータが載っている資料は、日頃から丁寧に扱うことを心がけましょう。
社員がアクセスできる情報と、経営者本人だけで管理するべき情報とを分けられていますか?
漏洩されたら困る情報や社員が知る必要のない情報は、経営者・経営陣だけで管理するべきです。そのためにまずは、社員も知るべき情報とそうでない情報とを明確に区別しましょう。仕事上、社員が重要な情報にアクセスしなくてはならない時も、必要最低限の情報を教えるようにしましょう。
メールを送る際の確認は徹底できていますか?
ここまでは、経営者にとっての注意点を紹介しました。ここからは社員も注意するべき点を紹介します。よくある例として、メールのCCに、社外の人を入れてしまってメールアドレスだけでなく、自社と取引先の会社の情報が漏洩してしまう危険性があります。 例えば以前に外部の人と仕事をしていた時のアドレスが履歴に残っていて、そのまま誤って別プロジェクトのメールのCCに入れて送信してしまった、という事例はどの会社でもあり得ることです。しかし、送る前にしっかりとアドレスまで確認すれば、防げたミスです。人為的なミスは、確認作業を怠らなければ防げることです。逆に確認を忘れてしまうと、会社にとって甚大な損失につながってしまいます。 急いでいる時はチェックを怠ってしまいがちです。重要な資料を送る際だけでも、社内の他の人間に二重にチェックしてもらうことが最も安全な方法です。手間がかかってしまいますが、会社の情報だけでなく取引先との信頼関係を守るためにも、社内で実践しましょう。
機密書類をシュレッダーにかけないまま捨ててしまった
書類を処分する時の決め事は、社内にありますか?重要書類をシュレッダーにかけるのは当然ですが、実際に全社員が完璧にデータを削除できていると言えますか?特に規定がないと、かなり重要な書類以外はわざわざシュレッダーにかけずに、細かく破いて捨てることもあると思います。それで特に問題がないこともありますが、処分しきれていない危険性も大いに考えられます。そもそも「社内での機密書類の定義」がマニュアルとしてあって、社員に共有できている状態にしておければ、処分仕切れていなくて情報が漏れてしまう心配もありません。どのレベルの資料が機密書類と言えるのか、会社側から線を引いておくといいでしょう。 加えて、処理方法も決めておくとベストです。書類を捨てる量にも寄りますが、大量に書類が出る会社であれば、機密書類専用の回収ボックスを設けるのがいいでしょう。
ルールを作る
次に、社内のルール作りをしましょう。 暗黙の了解ではなく、しっかり規定として社内でルールを作って、社員の意識づけが 必要です。特に通常は会社間で交わすことが多い「秘密保持契約」は、会社と従業員との 間で交わておくべきでもあります。この契約を結ぶことで、従業員の情報漏えいに対する 意識づけの一歩となるからです。明文化されていることで、予防策となります。
社内の情報を私物のUSBやパソコンに移さない
「モラル」として禁止するのではなく、社内の「ルール」としてはっきり禁止にしましょう。社内の情報を私物のデータ媒体に移すのはしないほうがベターなのではなく、してはいけないのです。この認識が甘いと、簡単に社員が知るべきでないデータも社員に知られてしまいます。 また最近、リモートワークを導入する企業も増えてきました。会社の情報を外で扱うには、より細心の注意が必要です。パソコンやスマートフォン、USB等、会社用とプライベート用を社内全体をあげて、はっきり分けましょう。 誤ったほんの少しの操作で、社内や取引先の情報は簡単に外部に漏れてしまいますし、最悪の場合、多額の損害賠償金が発生したり、会社の存続が難しくなることもあります。以下のような事件を防ぐためにも、社内の情報を安易に行き来させないようにしましょう。
「【事例】個人情報流出で損失を出してしまった5つの経営ケース」
ソフトウェアを最新の状態にアップデートできているか、定期的に確認する機会
ソフトウェアは最新の状態に常に更新されていないと、最新のウイルスやサイバー攻撃に対応できません。アップデートができていない、一社員のパソコンから社内の情報が抜き取られてしまうと、そこから情報漏洩にも繋がります。自動的に更新する設定にすることや、定期的にアップデートの更新を朝礼やミーティングで確認しましょう。
「確認作業」を習慣にする
先ほど紹介したメールを送る際に発生するミスなど、誰にでも簡単に防げるミスは全て防ぐための確認作業を社内で習慣化しましょう。確認作業のリストや、確認作業を怠った社員への制裁措置を作るのも有効な手です。実際に問題が起きる前段階でペナルティーを設けるのは、社員にとっても会社にとっても、リスクを避けられるのでいいことです。以下に確認リストに入れる項目の候補を、ここまでの内容を踏まえていくつか紹介します。 ・メールを送る時の宛先確認はできているか ・ソフトウェアが常に最新の状態にアップデートされているか ・書類の処分は適切にできているか ・会社の情報を個人のパソコンやUSBに移していないか ・会社の機密情報に触れるときは、上司や経営陣の許可を取っているか ・
ルールの実行(意識付け)
最後に社内の安全化を徹底するために、ルールを実行していきましょう。安全化に関するルールを社内に浸透させて社員に実行してもらうのは、決して難しいことではありません。それよりも簡単な作業を忘れずに日々実践していくことです。そのため、普段の習慣に組み込むこと、意識付けが肝心です。
朝礼やミーティングでの呼びかけ
経営者自身が常日頃から安全化、セキュリティー対策について朝礼やミーティングで普段から呼びかけることで、社員もアンテナを張るようになります。例えば「ITメディアニュース」(http://www.itmedia.co.jp/news/subtop/security/)では、最新のセキュリティーやIT関連のニュース が読めます。 例えば、
・芸能人の被害から学ぶパスワードの設定の仕方の注意喚起
・顧客の資産情報、従業員宅のNASから流出――米Ameriprise
・資生堂子会社に不正アクセス、42万人分の個人情報流出の恐れ カード情報も
など、会社・自分の身にも起きうる身近な問題を紹介してくれます。
安全化に関するルールを、文にして作る
先ほど「確認リスト」を作ると言いましたが、確認リストを含めたセキュリティー対策に関するルールを、社内の勤務ルールとは別に作りましょう。安全化に特化したルールを社内で持っておくことで、社員もセキュリティーに対してこの会社は厳しいと、気を引き締めるようになります。
まとめ
難しい対策は一つもありません。逆に、簡単で単純な作業だけど、それらをいかに確実に忘れずにこなすか、意識の問題なのです。忙しい時は怠ってしまいがちな作業が多いですが、一時の気の緩みが会社に大打撃を与えることも大いにあり得ます。まずは意識づけから、そして1つ1つ確実にこなしていく習慣を、会社をあげて身につけましょう。
「ALL-IN」概要資料
生産性をあげる極意 無料小冊子プレゼント!
Facebookページにぜひ「いいね」をお願いします!
「いいね!」を押すと「経営をアップグレードしよう!」の最新コンテンツが受け取れます