その他、サービス業
株式会社プロエイムは世界をリードする日本の技術をサポートすべく設立された、次世代型エンジニアリング企業。労働者派遣事業(建設業・プラントエンジニア分野)を中心に経営コンサルタント事業、建設業、太陽光発電・太陽熱温水器システム設備などのエネルギー事業を展開。さらにこれらの事業の連携によるシナジー効果で、ベトナムをはじめグローバル展開を目指す。社名の由来となった「Professional & Aim」には、常に『プロフェッショナル』を目指し、『高い志』を持つ企業という意味が込められております。
当社は、建設業やプラントエンジニアとして登録された派遣スタッフの個人情報をはじめとする、重要な情報を多数保有しています。特に技術を持った方の情報というのは、個人情報としての重要性だけではなく、当社にとっては大切な経営資源だとも言えます。
万が一、こうした機密情報が持ち出された場合、不正競争防止法により刑事責任が問えるとされています。しかし、実際にこうした事案が発生して刑事告訴し、事件性が認められて被害届が受理されても、結果的には不起訴になってしまうケースが少なくないと聞きました。詳しく確認すると、持ち出された情報が「営業秘密」だと認定されるためには、普段からそれらの情報がどのように管理されているのかが問われるとわかりました。
以前は、警備会社がPC操作履歴を収集してレポート化してくれるサービスを利用していました。しかし、定期レポートによるチェックでは即時性の面で不安があり、問題が起きた際にできるだけ早く対応できるよう、自社運用ベースで管理したいと考えました。
もちろん、改善には一定のコストが必要でしたが、万が一情報が持ち出されるようなことがあれば数千万円規模の被害となります。こうした被害を防ぐための投資だととらえ、情報漏洩対策の強化に踏み切りました。ネットワーク環境やウイルス対策などを見直すなかで、IT運用管理ツールの重要性を知り、「SKYSEA Client View」の導入を検討。管理画面がとてもわかりやすく、運用を軌道に乗せるまでは私一人で管理しても、使いこなせそうだと感じ導入しました。
まず、USBメモリやCD、DVDなどの外部記憶媒体は、社内への持ち込みも含めて、全社的に禁止というルールを定め、「デバイス管理」機能ですべての外部記憶媒体の使用制限を行っています。派遣登録される応募者が、必要書類のデータをUSBメモリに保存して持ってこられた場合などに、やむを得ずUSBメモリを接続するときは、個別に制限を解除して使用を許可。その後、当該PCのログを見てどんな操作が行われたかを確認するようにしています。
外部記憶媒体を使用禁止にしたことで業務に影響がでないよう、全拠点をVPNでつなぎファイル受け渡し用サーバーを用意、社内でのデータ受け渡しができるような環境を整えました。
一般的なメーラーは宛先欄(TOやCC)に頭文字を入力すると、宛先の候補が表示される機能がついているものが多く、社外の同姓の方などに誤送信してしまうリスクがあります。そのため、当社の社員同士のやりとりも含め、メールへのファイル添付は原則禁止と定めています。
あわせて、このルールがきちんと守られているか、また不注意に個人情報にあたる内容がメール本文に記載されていないかなどをチェックするために、オプションの「送信メールログ」機能を導入しています。「送信メールログ」機能では添付ファイルも保存されるので、ファイルが添付されていた場合にも、どういったファイルが送信されたのかがすぐに確認できるので助かっています。
実運用では、すべてのメールを確認することは難しいので、複数のキーワードでチェック対象を絞り、送信メールログを確認しています。
そのほか、Webサイトでのファイルアップロードやダウンロード、規定枚数を超える印刷といった各操作にもアラートを設定しています。これらの取り組みを行ってきたことで、USBメモリなどの外部記憶媒体、メール添付やWebサイトへのアップロード、さらに紙への印刷といった、情報の流出経路となりやすい点に対して、重点的に対策することができました。
私の持ち出し用のPCには「SKYSEA Client View」の管理機を導入して、出先からでも社内ネットワークに接続して状況が確認できるようにしています。今後は、なるべく短時間で状況が確認できるよう、アラートをより効率的にチェックする工夫をしたいと思っています。
例えば、アラートが発生すると端末機の表示やログレコードが赤い文字で表示されますが、アラート種別ごとに任意の色をつけることもできます。そこで重要度に応じて分類し、色を分けて表示することで、すぐに状況を確認して対処する必要があるような重要なアラートを見落とさないようにしたいと思っています。また、緊急度が高いアラートについては携帯電話にメールが送られるように設定し、すぐに手が打てるようにしたいと考えています。
今後も、このような情報漏洩対策の強化を図りながら、将来的には専任担当者を選任し、管理を任せられる体制が構築できればと思っています。
2016年5月取材
注目コンテンツ