住友建機株式会社SUMITOMO

今日から使える「情報セキュリティ」
基本のキ[事例編]

「情報セキュリティ」に弱みがあると、会社の存続を脅かす事態に陥りかねない。
会社と運命をともにするオーナー経営者にとって、情報セキュリティは、今や死活問題なのだ。
今号では情報漏洩事故の中でも、中小規模の建設業者が陥りやすい事例をあげながら、事故にいたるまでの経緯、事故後に対処すべきこと、再発防止策などについて解説する。

「情報は洩れても命にかかわらない」
という認識の甘さが事故のもと!

建設コンサルティングを行うワンダーベル合同会社の中村秀樹氏は、中小の建設会社のトップが陥りがちなミスとして、「大半の方々が情報という無形資産に関心が薄く、情報を操るITの威力や恐ろしさについても認識が甘い」と嘆く。
「操作を誤れば人命にかかわる建設機械は慎重に取り扱うのに、情報は人命に直接かかわらないので軽視しがちなのでしょう。しかし、情報漏洩事故を1回起こしただけで、経営が深刻なダメージを受けることもあります。情報は、会社の“命”を左右すると考えてもらいたいですね」

情報セキュリティに詳しいITコンサルタントの山口寿義氏は、「情報セキュリティの強化には、トップがまず危機意識を持ち、真剣に取り組むことが肝心。そうすれば、会社全体も自ずと変わります」と強調する。そして、危機意識を高めるために、情報セキュリティの「見える化」を勧める。
「情報は無形のものなので、危機意識といわれても、なかなかピンとこないでしょう。そこで、前号でご紹介した『情報セキュリティ・レベル診断シート』を活用してください。会社のどこに、情報セキュリティの弱みがあるのかがわかります」

次の項から、よくある事例ごとに、情報セキュリティの具体策を見ていくことにしよう。

[ケース1]
パソコンがウイルスに感染し、データが使えなくなった!

建設会社でも、パソコン(PC)でインターネットを検索したり、メールを送受信したりするのは、今や当たり前になっている。しかし、ネットやメールができる環境は、外部からウイルスも侵入しやすい。

もしもPCがウイルスに感染してしまったら、会社は多大な損害をこうむる。最悪の場合、経営危機を招くことさえある。例えば、PCの中の管理台帳や請求書、顧客名簿などのデータが消失してしまったら、業務がストップしかねない。

ウイルスの仕業で顧客の機密情報がネット上に流出してしまい、「取引先からの信用を失っただけでなく、管理責任を追及され、賠償金の支払いをきっかけに倒産の危機に陥った企業もあります」と、中村氏は警鐘を鳴らす。それだけに、ウイルス対策はぜひ立てておきたい。

ウイルスに感染したデータは諦めるしかない

現状の把握や将来の見通しを明確にすることは事業承継計画づくりにおいて不可欠。具体的には表のように3つに分類できる。まずは会社の分析をすること。従業員数、資産、キャッシュフローなど現状と今後の見込みを確認する。

次に人間関係についても把握。家族、役員、従業員、株主など会社に関わる全ての人について洗い出す。関係者の株式の保有状況についても確認しておくべき。最後に経営者自身の個人資産の状況を確認する。先々に起こる資産の承継にあわせ、妻や子供たちへどのように配分するかについて、遺言書などを活用する。

[ケース2]
メールを誤送信してしまい、得意先の信用を失った!

メールは、ワンタッチで情報をやり取りできるので、便利な半面、誤送信ミスも招きやすい。とりわけ「社内予算」「顧客への不満」といった“社外に知られたくない情報”を顧客に送ってしまうと、信頼関係にヒビが入る。関係が悪化すると取引を打ち切られてしまうこともあるので、要注意だ。

ありがちなのが次のようなケース。メールアドレスを見間違えて、下請け業者の工事の見積書を、誤って顧客に送ってしまった。顧客にあらかじめ提示していた見積もり金額より大幅に低い金額が記載されていたので、先方の担当者はカンカン。こうした場合、顧客との信頼関係の悪化を防ぐには、どのように対応すればいいのだろうか?

「まず相手方に謝罪して、誠意を示すこと。次に再発防止策を説明して、理解を求めます。さらに、被害額の補償、慰謝料の支払いといったフォローを速やかに行いましょう。今回のケースであれば、値引きした見積もり金額を、顧客に再提示してみるといいでしょう」(中村氏)

メールアドレスの再確認ソフトも有効

メールについては、「BCC」「全員に返信」といった一斉送信機能を使う人が多いが、予期せぬアドレスにメールを送るリスクがあるので避けるべきだ。また、誤送信につながりやすいのが「オートコンプリート機能」。PCが過去に入力したワードを記憶し、最初の文字を打ち込むだけで候補のワードを列挙してくれる、あの機能だ。

「便利なのですが、同じ苗字の人に誤って送る事故が多発しているので、この機能は削除したほうがいいでしょう」と、山口氏は強調する。
そもそも「社外に出せない情報はPCに入力しない」といったルールを導入するのも一つの対策法だ。そのうえで「送信先のアドレスの再確認を促すアドオン(機能追加)ソフトを、PCにインストールするのも手です」(山口氏)。重要なデータを送信するときは、データを暗号化してパスワードで開くように設定し、パスワードは別メールで通知するといいだろう。

ただし、誤送信してもすぐに謝らないほうがいいこともある。
「相手が未読の可能性があるので、しばらく様子を見守ったほうがいいケースも考えられます」(山口氏)

[ケース3]
必要なデータの保管場所がわからなくなった!

担当者が出張していたときに工事で不具合が発生、得意先から問い合わせを受けたが、該当するデータがPCのどこに保存されているのかがわからない。
担当者のスマートフォンに連絡したものの、あいにく担当者は出張先の現場にいて、連絡が取れるまで半日以上もかかってしまった。得意先は、緊急対応を求めていたのでオカンムリ。担当者とその上司は、得意先へ謝罪に赴く羽目に──。

建設会社では、こうしたトラブルも頻繁に起こっている。とりわけ、仕事の割り振りが属人的で、業務上のデータ管理・保管も担当者任せになっているような職場で目立つ。
「データが行方不明になる」というトラブルを回避するには、個人で作成したデータなども社内で共有化しておくといい。
「ファイル名のつけ方といったデータの標準化ルールも決めておけば、イザというとき、すぐに検索できます」と、中村氏は説明する。

データの集約は便利だが流出リスクも高まる

とはいえ、社内データを検索しやすくすると、情報が外部に流出するリスクも高まる。「金銭や人事に関するような機密情報は、必ず特定のフォルダに保管するようにして、権限をもつ人しかアクセスやコピーができないように設定しておくといいでしょう」(山口氏)。

データの標準化ルールを決めても、社員がそれを守らないと、別のトラブルが発生してしまうこともある。
「よく見られるのがファイルの世代管理の問題。例えば、同じ工事の設計ファイルを、仕様の変更前と変更後で2通りつくってしまったりするんです。そのせいで変更前のデータを使って工事をしてしまい、やり直しになるケースも少なくありません」(中村氏)

仕事のプロセスを把握するため、旧版のファイルをあえて保存しておきたいといった場合は、旧版の保存フォルダを設け、ファイル名に作成日などを入れるといった工夫をするといいだろう。

[ケース4]
下請け業者の作業員の個人情報が漏洩した!

2005年の個人情報保護法の全面施行が契機となって、企業では顧客や社員などの個人情報の管理を厳しく求められるようになった。もちろん、建設会社も例外ではない。

ところが、個人情報に対する認識が甘く、管理が杜撰になっている建設会社も少なくないようだ。例えば、以前よく工事現場で問題になったのが、作業員の健康診断データの取り扱い。

中村氏は、こう指摘する。
「建設会社は、工事現場での作業の安全を確保するため、作業員の健康状態について把握するよう、法律で義務づけられています。そこで、下請け会社に作業員の健康診断データの提出を求めるわけです。ところが、預かった健康診断の書類をそのままファイリングして、机の上や棚の中に置きっぱなしにしている工事現場の事務所が多いんですね。労働基準監督署の監査で、それが個人情報の不適切な管理と見なされ、是正勧告を受けるケースが相次いでいます」

損害賠償で作業員に訴えられることも

健康診断データは、個人情報の中でも機密性が高い。にもかかわらず、誰でも閲覧できる状態になっていることが、個人情報保護法に違反しているのだ。中には、事務所が盗難や災害に遭って、健康診断データのファイルが紛失してしまうこともある。

法律では、情報漏洩そのものに対する罰則はないが、「漏洩の事実が作業員に知られ、訴えられたら、建設会社は損害賠償責任を負わざるをえないでしょう」と、中村氏。いい加減な情報管理が、大きな損失につながりかねないと心得ておこう。

健康診断データは、チェックしたら、原則としてすぐに下請け会社に返却しなければならない。しばらく手元に置きたいのなら、下請け会社(作業員)の同意を得た上で、金庫などに入れて厳重に保管すべきだ。
もちろん、デジタルの個人情報もしっかり守らなければならない。山口氏は、「ネットワークから隔絶したPCで、ファイルにパスワードなどでロックをかけた状態で保管するべき」と話している。

社員の意識が変わらない限り
情報漏洩事故は起こり続ける

情報セキュリティ強化のためには、主にコンピュータ、特にPCの運用について対策を立てる必要がある。PCの運用対策は大きく分けて「ハード面」と「ソフト面」の取り組みがある。

ハード面の取り組みでは、会社がセキュリティ対策を施したPCを全社員に支給し、仕事はそのPCで行うようにする。中小の建設会社では、社員の私物PCもよく使っているが、そうした場合、情報漏洩などの事故が起こりやすいからだ。

PCについては、「時間外使用の禁止」「社外持ち出しの禁止」「1週間に1回以上のデータのバックアップ」といった運用ルールを作成する。「重要なルールは、『情報セキュリティ心得10カ条』といった具合に紙にまとめ、社員に携帯させるといいでしょう」(山口氏)

ウイルス感染や顧客とのデータに関するトラブルを想定し、社内の担当窓口やITサービス業者の緊急連絡先、対応のフローなども、あらかじめ決めておこう。捨てたPCから情報が漏れることもあるため、「廃棄前に完全上書きソフトでデータを消去する」など、廃棄ルールも定めておく必要がある。

有効なのは小テストと「5S」の徹底

ハード以上に重要なのがソフト面での取り組み、すなわち、社員の意識改革だ。セキュリティ対策ルールを作成しても、社員が使いこなさなければ、効果は上がらない。運用ルールも、社員が守らなければ「絵に描いた餅」で終わってしまう。

例えば、若手社員はよくスマホで工事現場の写真を撮る。しかし、「スマホにGPS機能がついていると、画像に位置情報がつき、工事の内部情報や個人情報が割り出されてしまうことがあります」(中村氏)。写真をツイッターやフェイスブックなどのSNSに掲載すると、情報漏洩のリスクが格段にアップする。

そのため、「スマホによる工事現場の撮影」や「SNSへの写真投稿」について、禁止事項であることを社員に周知徹底させ、順守させる必要があるわけだ。
社員教育のテキストとしては、前号に掲載した「情報セキュリティ・レベル診断シート」のほか、東京建設業協会の「情報漏えい防止徹底のお願い」(コラム参照)も活用できるので、参考にしてみよう。

「情報セキュリティの小テストを社内で定期的に行い、成績優秀者に賞品を与えたりしてみるのも、社員のモチベーションや関心を高めるのに役立つでしょう」(中村氏)

山口氏は「5S」(整理・整頓・清掃・清潔・しつけ)を社内に植えつけることが大事だと主張する。「机上などに資料が雑然と積まれているような会社は、そもそも情報をきちんと管理できません。情報セキュリティのルール化以前に、5Sは取り組むべき課題かもしれません」


監修=中村秀樹(ワンダーベル合同会社)/山口寿義(ITコンサルタント) イラスト=佐藤竹右衛門

なかむら・ひでき

名古屋工業大学土木工学科卒業。大手ゼネコンにて高速道路、新幹線の橋梁工事などに従事。建設マネジメントの実践、建設技術者教育で活躍

やまぐち・ひさよし

富士通株式会社で10件以上の大規模プロジェクトのマネージャーに従事した経験をもつ。現在、フリーランスのITコンサルタント。ITコーディネータ協会のWG活動にも携わる。