トップページ  >  連載  >  社会保険労務66

社会保険労務

令和3年6月16日

66.テレワークにおける労務管理 ⑦

今回は、テレワークにおける個人情報漏えいに関する事例とその対策についてご紹介します。

新型コロナウイルスの影響で利用が広がるテレワークの中で、個人情報保護委員会のHPやパンフレットでは、個人情報の漏えいに関する注意喚起や、実際に確認された個人情報漏えい事案の個別事例とその対策などが挙げられていますので、その中からポイントをご紹介します。

 

事例1

本来は非公開とすべきクラウドサービス上の個人情報を誤って公開してしまった事例

 

解説

クラウドサービスはインターネットを用いることでどこからでもアクセス可能であり便利ですが、その分セキュリティ対策は十分に行う必要があります。この事例では、クラウドを導入する際に、ファイアウォールのアクセス制御設定が一部オープンな状態となっていたり、アクセス許可設定を初期設定のままにしていたことなどが原因として考えられます。

 

対策

ネットワークのセキュリティ設定がクラウド業者側で行われるものと誤解し、自社で設定を確認していないことが考えられます。契約書や規約により、セキュリティ設定についてクラウド業者の責任の範囲、自社の責任の範囲を正しく理解した上で、自社の責任範囲であるネットワーク設定をきちんと確認しておくことが必要です。

また、初期設定を含めて現状の設定内容を確認し、設定変更する必要があるかを確認しておきましょう。


 

事例2

クラウドサービスへのログイン認証が十分でなかったため、不正ログインされた事例

 

解説

クラウドサービスへのログイン時に、メールアドレスとパスワードだけの強度の低い認証方法を用いると、簡単に推測されてしまう危険があります。また、複数のサービスで同じパスワードを使いまわしていると、他のサービスからパスワードが漏えいした場合に、不正にログインされてしまう可能性があります。最近は、本人しか知らない重要な情報(パスワード等)について、人間の心理的な隙や行動のミスに付け込んで盗み出すという巧妙なソーシャルエンジニアリングを行う手口も増えています。

 

対策

メールアドレスとパスワードだけの認証方式では、強度が低く、第三者に簡単に推測されてしまう危険性がありますので、多要素認証を導入することで、万が一IDとパスワードが漏えいした場合であっても、なりすましによる不正アクセス被害を防ぐなどの方法が考えられます。多要素認証としては、顔や指紋などの生体認証やワンタイムパスワードの導入が考えられます。スマホや携帯電話を持っていないなど多要素認証ができない従業員に対しては、会社でスマホ等を貸与することも検討が必要でしょう。


 

事例3

テレワーク中の社員がインターネット利用中にPCがウイルスに感染し、出勤時にそのPCを社内ネットワークに接続したことで、社内システムの情報が外部に漏えいした事例

 

解説

テレワークで使用している自身あるいは会社から貸与されているPCでインターネットを利用している際、本人も気づかないうちにウイルスに感染してしまうことが考えられます。また、最近、従業員宛にウイルスが添付された電子メールを送り付けるなどといった手口が増えていますが、不要に添付ファイルを開封することにより、これらにより、従業員がテレワーク時に使用するPCをウイルス感染させ、そのPCを社内ネットワークに接続することで感染が拡大し、会社の内部情報が外部に漏洩してしまうということが考えられます。

 

対策

(1)対策としては、VPNの利用が考えられます。

VPNとは、「Virtual Private Network」の略で、「仮想専用回線」と訳されます。インターネット上に仮想的なプライベートネットワーク(専用回線)を設けて、セキュリティ上の安全な経路を使ってデータをやり取りする技術です。

VPN接続を行うことで、通信が暗号化され、第三者が覗き見することができないよう保護されます。イメージとしては、誰もが通る道に専用のトンネルを設けることで、その中でどのようなやりとりが行われているかを読み取れなくします。テレワーク環境において、VPN機器へ接続しない限りインターネットを利用できない仕組みを導入することで、スマホやノートPCからLINEやYouTube、Webサイトなどインターネットを利用したり、クラウドにアクセスする際にも、社内と同等のセキュリティ対策を適用することができます。

VPNは大きく分けて、インターネット回線を利用して行うインターネットVPNと、通信事業者ごとに単独で構築・運用される回線網を利用するIP-VPNの2種類があります。前者は安価に導入できる一方、ネットワーク品質は後者に劣ります。

インターネットVPNであれば、ルーターの購入費用と最初の設定だけなので、2~5万円のコストで済むことが多いです。一方、IP-VPNは初期費用に加えて月額費用がかかり、利用する容量や拠点数によっては高額な費用がかかることもあります。

 

(2)また、少しでも不審に感じたメールに添付されているファイルやリンクは絶対にクリックしないことを従業員に徹底させ、疑問に思った場合はテレワーク時でも一人で判断せず誰かに相談させるなど、従業員のセキュリティに対する意識を高めることも必要です。テレワーク特有の職場におけるセキュリティ確保のためのルールや相談体制を整備することが必要となります。

top