新型コロナウイルスの感染拡大は、企業にとって様々な経営環境に変化をもたらした。

多くの企業では、予定通りの事業展開が困難になり業績が伸び悩む中、将来的な業績の懸念や不透明感から、経済的な不安を抱える従業員も少なくない。

また、感染拡大防止のため多くの企業で導入されたテレワークなど、従業員の労働環境は一変した。

こうした経営環境の変化を踏まえ、今だからこそ見直したい企業における情報セキュリティについて解説していく。

コロナ禍で不正リスクが高まる要因

前述したように多くの企業で導入したテレワークでは、請求書などの何らかの取引があった書類に関しては原紙を確認できないので、取引決済時の承認印の押印が電子メールによる承認で代替えされた。

商品倉庫や営業所を直接訪問して現物を確認することができないというように、従来の業務プロセスでは対応できない新たなリスクが生まれ、不正の機会を増大させることとなった。

現在では、政府による外出やマスク着用に対する規制は緩和したものの、テレワーク自体は日常業務に浸透していることから注意が必要だ。

また、業績連動型賞与などを導入している企業では、業績を少しでもよく見せたいという従業員のプレッシャーから不正を誘発することもありうる。

このように、新型コロナウイルスの感染拡大による経営環境の変化は、不正リスクに対する内部統制の脆弱性を生み、不正への心理的な誘因となる可能性があるのだ。

情報漏洩のリスク

不正リスクの中で最も考えられるのは、会社の保有する金銭や在庫などを私的に消費または流用するケースが挙げられるが、ここでは情報資産に対するセキュリティについて考えていく。

情報漏洩とは、社内の従業員や外部の第三者が機密情報を不正に持ち出し、一般または競合他社などに流出させる行為を言う。

テレワークでは、自宅などで作業をするために会社の機密情報を紙や電子データで持ち出すこともあり、従業員が意図的あるいは盗難や紛失にあうことにより、情報漏洩につながるリスクがある。

また、テレワークでは外部ネットワークを経由した社内システムへのアクセスや自宅のパソコンからのアクセスが行われることもあり、従来にも増して情報セキュリティ上の脆弱性が生じやすい環境にある。

社内システムへの不正アクセスにより、外部の第三者によって機密情報を盗み取られたり、カフェや貸オフィスで仕事をする際にやはり外部のものに情報が盗み見られ、機密情報が流出するリスクがある。

さらに、情報セキュリティの脆弱性や従業員の不注意などにより、情報システム利用者のパソコンがマルウェアに感染してパソコンが使えなくなることで業務に支障をきたすというリスクも考えられる。

情報漏洩リスクへの対策

情報漏洩のリスクへの対応としては、経営者からのメッセージのほか、情報セキュリティ対策などに関する具体的かつ有効性のある予算割当を行うことが必要だ。

一方、業務上の対応については、総務省が公表する「テレワークセキュリティガイドライン（第5版）」が参考となる。

参考；総務省「テレワークセキュリティガイドライン（第5版）」
https://www.soumu.go.jp/main_content/000752925.pdf

このガイドラインでは、テレワークにおける情報漏洩リスクに対するセキュリティ対策の考え方やポイントが示されている。

以下、それらを参考に不正リスクへの対応について解説していく。

情報セキュリティに関するルール策定と点検

まず初めに、情報セキュリティに関するルールとして、テレワークを想定した情報セキュリティポリシーなどを策定するとともに、教育や啓発活動によって従業員への周知を図る必要がある。

また、自己点検や監査によって、規定通りのルールが遵守されているか確認することも重要だ。

先のガイドラインでは、情報セキュリティ事故の発生に備えた連絡体制の整備や事故発生を想定した訓練の実施も提言されている。

機密情報の範囲の明確化

テレワークを前提とした社内情報の重要度を分類し、テレワークでの利用の可否を示すことが有用である。

テレワークを想定した情報の取り扱いに関する規定の見直しと従業員への周知徹底、情報の性質に応じたアクセス権の設定、「㊙」「社外秘」などの表示といった対応が求められる。

社内システムへの不正アクセスや情報盗難への対策

不正アクセスへの対策として、社内システムへアクセスするための利用者認証について、技術的基準の明確化、アクセス状況の監視と不要なアクセスの遮断、アクセス用パスワードの定義といった情報セキュリティ対策を再確認するとともに、無線LAN利用に伴うリスク対策やインターネット経由で社内システムにアクセスする際のアクセス方法を定めておくことが大切である。

また、機密情報の盗難への対策として、社外への電子ファイルの送信に際してパスワードを要求することで、誤送信時の情報漏洩リスクを低減できる。

さらにパソコン画面にプライバシーフィルターを装着して、第三者による画面の覗き見防止を図るといった対策も必要だ。

マルウェアへの対策

テレワークでの使用端末の多様化により、従業員が危険なサイトにアクセスしないようにするフィルタリングや、金融機関や取引業者からの事務連絡を装った不審メールの自動分類の設定を行うことも有用である。

また、テレワークで使用するパソコンのOSやソフトウェアは、適宜アップデートを行い、最新の状態を保つ作業も欠かしてはいけない。

まとめ

この記事では、情報漏洩のリスクとその対策について解説してきた。

まずは、経営者による不正を抑制する取り組みを実践し、そのうえで内部統制に関する新たな対処を順次進めていく必要があるだろう。