Tweet

 
第１回対談は「変容する情報セキュリティ」についての話でした。ＳＮＳの台頭で、企業の機密情報や個人情報が脅威にさらされており、従来の情報セキュリティ対策では手落ちだと言うこと。今回は、スマートフォンが内包する情報セキュリティのリスクをテーマにしたいと思います。

スマホの普及がＳＮＳ利用の爆発的な利用拡大をもたらしましたが、スマホそのものが持つデバイスの情報リスクについて、今回はお二人に語ってもらいました。

田淵　ＳＮＳの台頭で気がつくのは、スマートフォンの普及拡大です。このスマホというデバイスの出現で、従来の情報セキュリティ対策では対応できなくなったのではないですか。

田村　その通りです。

田淵　会社は社内の情報セキュリティについて強化しました。しかし個人が社外に持ち出すスマホについてどうなっているのでしょうか。

田村　仕事に私物のスマホを使わせている企業は少なくありません。当然ながら、それらデバイスは、十分なセキュリティ対策はとられていません。

田淵　十分でないというのはどういうことですか？

田村　例えば、私物のスマホについて、会社が使用する機種を指定することは通常ありません。古いOSの機種を使っていても、会社が買い替えてくれることは無いでしょう。そもそも貸与のコストを削っているのですから。ところが古いOSは脆弱性情報が公開されていることがあったり、会社が推奨するセキュリティアプリが使えなかったりします。

田淵　個人のスマホを仕事に使うのが、情報セキュリティのリスクになるのですか。

田村　なります。リスク源のひとつは、アドレス帳です。スマホを仕事で使っていれば、取引先や、時には個人顧客の連絡先がスマホに蓄積されていきます。この端末で趣味のSNSを利用した時に、うっかりお誘いメールを送ってしまって問題になったことがあります。

田淵　なんでそれが問題になるんですか？

田村　これは目的外利用にあたるのです。名刺などのビジネス連絡先情報は利用の制約が比較的少ないのですが、一般には受け取った法人としてのビジネス利用に限られます。社長さんが慣れないSNSの操作を誤って、仕事に関係ないメッセージを一斉配信してしまう、というトラブルもありました。

 　
 

田淵　それは問題になりますね。

田村　もう一つのリスク源は、高機能すぎる、という点です。ガラケーの時代なら、あまり重たいデータは携帯に残りませんでした。ところがスマホになると、パソコンと同じ容量のデータを長期間保持することができます。メールに添付された契約書やお客様リストや売上データなどなど。

田淵　スマホは携帯と違って、電話にパソコンが付いてるのと同じですからね。

田村　そのとおりです。仕事に使うスマホには、個人情報に限らず、社内で利用制限されているようなデータが残ることが少なくないのです。会社のコントロールが効かない端末の中に重要なデータが存在していることを認識しなくてはなりません。

田淵　個人のスマホだから、中を見せてくれとも言えませんしね。ところで、どういう瞬間に漏れたりするんですか？

田村　退職する時を考えてみましょう。私物のスマホを会社が検閲することはなかなかできないですよね。退職する社員も特に意識せず、そのデータを持ったまま退職してしまいます。取引先情報であるアドレス帳が会社のコントロールの全く効かないところへ行ってしまいました。

田淵　それはまずいですね。その個人データを使って、再就職先で使われない保証はないですものね。

田村　そういう事です。普通の退職者は、あえて漏えいさせようとは思っていないはずなんです。でも彼が転職先で成績に困り、藁にもすがる思いで営業先として連絡してみたらどうなりますか。

田淵　どうなるんですか。

田村　これは個人情報の漏えいになります。連絡を受けた方が当の退職者を個人的なお友達だと思っていればいいのですが、そうでない場合、あるいは営業トークがしつこかった場合、あるいは連絡を受けた方の虫の居所が悪かった場合、クレームになります。

田淵　なるほど。

田村　しかも、事故を起こしたのは退職者ではなく元の会社です。自社が管理する情報を管理できない領域に出してしまったのですから。そのため、クレームが公的機関に行ったりすると、その機関は会社に事態の報告を求めます。

田淵　そうなんですか。公的機関に通報されちゃうわけですね。公的機関というのはどこですか？

田村　政府機関である個人情報保護委員会（PPC）です。プライバシーマーク取得企業なら審査機関ですね。その対応に、また会社の人やお金が使われてしまうのです。

次回は、「プライバシーマーク取得とＳＮＳ」というテーマで、引き続き対談を予定しています。

今回対談を受けて頂いた方

田村 豪之（たむら ひでゆき）

株式会社バルク コンサルティング事業部 シニアコンサルタント 事業部長

200社を超える企業に対する400件を超える認証審査対応という、日本有数の実績を背景にした、企業ごとの実情にマッチした変幻自在の提案力を武器に、事業運営にまつわるリスクに対して空論に終わらない対応策策定をおこなう。「各社の資源に合わせた最高のリスク対策の立案と実現をサポートします。」大阪府出身　中小企業診断士

株式会社バルクとは

バルクは、プライバシーマーク・ISO27001取得運用支援では業界トップクラスの支援実績を誇る情報セキュリティコンサルティング会社です。近年、情報セキュリティにおいては新たな脅威が拡大しています。最も対策が急務となっているのはサイバー攻撃ですが、改正個人情報保護法やEU圏のGDPRなど、個人情報や機密情報の取扱いには、企業としての責任が年々問われる状況にあります。
バルクは、そのような背景の中で業界のリーディングカンパニーとして、常に他社よりも先駆けたサービスの提供を続けている会社です。ITツールを使った支援も行っており、数多くのプロジェクト実績やあらゆる業種、規模に応じた対応ノウハウを有しております。

【プライバシーマーク コンサルティングについて】

https://www.vlcank.com/co/privacymark

【ISO27001コンサルティングについて】

https://www.vlcank.com/co/iso27001