コンピューターを使って仕事をしている人は、ほぼ確実に大量のドキュメントを扱っているはずです。経理関連、技術関連、機密情報もあるかもしれません。そしておそらく、毎日何百通ものメールが届いていることでしょう。どんなに気を付けていても、宛先を間違えてメッセージを送ってしまったことが(添付ファイルの有無にかかわらず)、誰でも一度くらいはあるのではないでしょうか。
セキュリティ用語で言うと、メールの誤送信はデータ漏洩にあたります。Kaspersky Labが昨年実施した調査によると、データ漏洩の3件に1件で、結果的に誰かが解雇されています(英語記事)。しかし、重要なドキュメントを間違った相手に送ってしまうことだけがデータ漏洩の原因ではありません。アクセス権限を適切に設定していないために発生する場合もあります。この記事ではこうした問題を、雇用者の視点ではなく、問題を起こさずにドキュメントを処理する任務を課せられた一般社員の視点で取り上げます。
データを正しく扱い、職場でデータ漏洩を起こさないために、心に留めておきたいヒントをさっそく見てみましょう。
仕事を持ち帰らない
業務時間内に仕事が終わらなかったとき、家に持ち帰ろうと考えるものです。しかし、健全なワークライフバランスの維持という観点だけでなく、有効なセキュリティ対策が脅かされる危険性という観点も考慮に入れてみてください。
オフィスでは、ITセキュリティ部門がセキュリティに対する責任を負います。データを安全に保管し、コンピューターを保護するために、ITセキュリティ部門はさまざまなポリシーを策定し、色々なサービスを利用しています。企業向けのサービスは一般的に、個人向けのアプリやサービスと比べてセキュリティが高く、構成しやすくなっています。たとえばMicrosoftのOneDrive for Business(英語)の場合、複数レベルのデータ暗号化機能があるので、ドキュメントが誰彼構わず共有されてしまうのを防ぐことができます。一般利用者向けのOneDriveに、そのような機能はありません。
要するに、セキュリティポリシーが適切ではなかった、職場のコンピューターが十分に保護されていなかった、という理由でデータ漏洩が発生した場合、責められるべきはセキュリティ部門であり、あなたではありません。
しかし、仕事を家に持ち帰ったり、仕事用のドキュメントを外部サービスに保存したりすると、その情報のセキュリティを確保し、ふさわしくない人の手に渡らないように保護する責任は、すべてあなたが負うことになります。そして、情報を紛失、漏洩させてしまう事例はいくらでも想定できます。
たとえば、リンクで共有されるGoogleドキュメントは、受信者だけではなく、検索エンジンからも見ることができます(英語記事)。また、パスワードで保護されていないラップトップを、誰かに盗まれるかもしれません(英語記事)。空港のUSB充電ポートを経由して、誰かがあなたのスマートフォンにアクセスしようとする可能性もあります。
アクセス権限の取り消しを忘れない
言うまでもなく、ドキュメントを共有しての作業はとても便利です。ほとんどどこからでもアクセスできますし、ドキュメントにアクセスできる人を指定することも可能です。しかし現実問題として、アクセス権限を割り当てたまま、取り消すのを忘れてしまう人も多いのです。
こんな事例を考えてみましょう。ある仕事を請負業者と一緒に進めてきましたが、その業者が関係する部分は終了しました。しかしあなたは、その業者に割り当てたドキュメントへのアクセス権限を取り消すのを忘れていました。業者はその後、あなたの会社の競合企業と契約。競合企業は、あなたのうっかりミスを知って大喜びです。上司がこれを知ったとき、あなたの身に何が起きるのか、想像するのは難しくありません。
このような事態を避けるために、業務用のドキュメントは定期的にチェックし、アクセス権限を把握しておきましょう。社員が退職したり解雇されたりしたときには、その個人にアクセス権限が付与されていたドキュメントをすぐに確認し、許可を取り消してください。また、業者との契約が終了したときにも同じようにしましょう。
関係のない同僚に情報を教えない
当社が最近行った調査によれば、18~24歳の社員の30%、55歳以上の18%が、業務用のコンピューターやその他アカウントのログイン情報を同僚と共有したことがあります。そのような人が少数派であるのは好ましいことですが、そうした人が存在することに関しては好ましいと言えません。
たとえば、何らかの後ろ暗い動機を持つ同僚が、機密情報を意図的に漏洩させるかもしれません。その情報にアクセスできるのは、公的にはあなただけである場合、漏洩が発生したときに責任を追及されるのが誰かは明白です。
また、悪意のないまじめな同僚であっても、重要な情報を誤って削除したり、宛先を間違えて送ったりする可能性があります。本人に悪意がまったくなかったとしても、あなたは責任を免れることができません。
このように、同僚と情報を共有することについても、想定される他の事例と同じように扱うべきなのです。同僚に何かを教えるということは、情報へのアクセス権を与えるのと基本的には同じです。アクセス権を不用意に与えすぎるとどうなるかについては、前の項で説明したとおりです。
メールを整理する
宛先を間違えてメールを送ってしまったことはありますか?一度くらいはあるのではないでしょうか。または、誰かをCCから外すのを忘れてしまい、気まずい思いをしたことはありませんか?そうしたことは起こってしまうものです。原因は、たいてい焦りや不注意です。ここで簡単なライフハックを1つ。そのような事態を避ける、または少なくとも減らすために、ラベル(たとえば「秘密」など)を作成して、慎重に扱うべき内容のメッセージすべてにそのラベルを付けます。そうすれば、その種のメッセージを送信したり返信したりするとき、ラベルに気付き、宛先と送信内容を改めて確認できます。
ついでに言えば、メールを整理しておくべき理由はほかにもあります。メールボックスの中には、定期的に必要になるドキュメントやメッセージが入っているものです。何を探せばいいのか分からなくて、探し出すのに時間がかかるようでは非効率です。ですから、メールをフォルダーに入れて分類しておくのは決して無駄なことではありません。
家の中を片付ける
当社の調査では、自宅での習慣と職場での習慣に深い関連性があることを示す結果も出ています。言い方を変えると、あなたの家が散らかっているならば、あなたの職場環境もそうであり、デジタルライフも乱雑になっている可能性が高いのです。デジタル面で職場環境の秩序を保ちたいならば、まずは良い習慣を地道に積み重ねることから始めましょう。