情報漏えい対策～営業マンのパソコン紛失・盗難時に備えての情報漏えい対策とは～

今や営業マンにとって、ノートパソコンの持ち出しは当たり前になっています。また、「働き方改革」の推進に伴い、テレワークなどが推進され、パソコンの持ち出しが増加傾向にあります。

営業マンにおいては、パソコンを会社外へ持ち出すことが許可されたことにより、会社でしかできなかった業務をどこにいても行うことができ、外回りが多い営業マンの仕事が効率的になったといえます。

例えば、見積書を上司に確認してもらいたい時、パソコンの持ち出しが禁止されている場合には、どちらかが外出している時間は、確認してもらうことが不可能となります。しかしパソコンの持ち出しが許可されていれば、どちらかが外出していても、どちらとも外出していたとしても、メールなどのツールにより、上司は見積書を確認することが可能になるため、外出があったからといって業務が止まることはありません。

また、今までは、書類作成の業務が残っていると、外出先から遅い時間に会社へ戻り、残業をしなければなりませんでしたが、パソコンの持ち出しが許可されることで、わざわざ会社にもどることなく、直行・直帰が可能となります。パソコンの持ち出しを許可する企業が増えていくことで、テレワークや在宅勤務などが、今後当たり前になっていくと考えられます。

お客様や取引先の方との関わりが多い営業マンのパソコンには、個人情報がたくさん入っています。

パソコンの持ち出しが許可されたことにより業務の効率化が進む反面、パソコンの盗難・紛失のリスクが高くなります。

2018年11月に、朝日新聞社員が約1900人分の個人情報が入ったパソコンを入れた鞄を電車内に置き忘れるという事故が発生しました。紛失後、駅員によって電車内で拾得され保管されていたため、パソコンへの不正アクセスは確認されず、同社は個人情報の流出は極めて低いと判断しています。
元記事：紛失した個人情報の発見・回収について

上記は幸いなことに、駅員に拾得され個人情報の流出も極めて低いことが判断されましたが、盗難・紛失後に発見に至らないパソコンも多くあります。その場合、保存されている情報はどのようになっているのかはわかりません。また、パソコンの中にはお客様の個人情報だけではなく、「極秘」「社外秘」「取り扱い注意」など、漏えいされてはいけない情報が保存されている方も少なくないと思います。

もし、外出先でパソコンの盗難または紛失があった場合、企業は、「いつの情報か」「何件か」「氏名・住所などどのような情報が含まれているか」などそのパソコンに入っている個人情報のリストアップ作業が必要となり、その後、被害者の方にお詫びを行うと同時に、情報漏えい発生の事実公表などの対応に追われます。

以前、パソコンの紛失により個人情報が流出したことから、被害者に対し高額の慰謝料を支払ったケースもあり、また裁判になった事例もあります。パソコン1台が盗難・紛失の被害にあうことでとても重大な事件につながる可能性もあるため、迅速な対応をすることが大切です。

今回は、パソコン紛失・盗難時の情報漏えいを防ぐための方法をご紹介します。

紛失・盗難時の情報漏えいを防ぐための方法

※まず盗難・紛失が発生した場合は上司・担当部署にすぐ連絡することが大切です。会社には黙っておきたい、バレたくない。出てきたら何事もなかったことになるという考えはとても危険です。時間が経てば経つほど隠そうとしていたと判断され、さらに対応が遅くなることで被害の拡大に繋がります。

パスワードの設定及びパソコンの暗号化

BIOSパスワード、ログインのパスワード設定、さらにHDDやフォルダ、データのパスワードの設定です。

しかし、インターネット上で入手できる解読ツールを使用すれば、わずか数分でパスワードが突破される恐れがありますので、セキュリティレベルは低いといわれています。

そのため、BIOS・ログインパスワードの設定と一緒に第三者による不正な読み出しを困難にする暗号化ソフトの導入をお勧めします。

HDD暗号化はOSやシステムファイル全体を含めたハードディスクドライブをまるごと暗号化が可能です。WindowsにはHDD暗号化サービスであるBitLocker搭載されているパソコンもあり、BitLockerを有効にすることでドライブ全体を暗号化することができ、ハードディスクを抜き取られてしまった場合も暗号化が設定されているので流出の可能性は低くなります。

BitLocker以外でも、設定したフォルダに保存するだけで自動的に暗号化できるものなど様々な暗号化のソリューションがあります。しかし、復号するには必ず復号キーが必要となり、もし復号キーをなくした場合は復号が不可能となります。管理者は、社員が自分のパスワードを忘れてしまった場合の手続きなどをしておかなければなりません。暗号化にもデメリットがありますので、運用方法を検討した上で暗号化を設定しましょう。

リモートロック・リモートワイプ

端末が盗難・紛失にあった場合、管理サイトからモートでロックを命令、またはデータを消去することができるソリューションです。消去命令を送った場合、復元が不可能な状態になるので、盗難・紛失が起こった場合は情報の流出を防ぐことができます。

パソコンの位置情報を確認することができるものもあり、紛失が判明したらロックを命令し、その後、発見に至らなかったら消去を行うなど、こちらも用途に応じて様々な対策をおこなうことができます。オフライン時の際も対策が可能で、一定時間ネット接続がない場合、パソコンのマウスやキーボード、タッチパッドなどの入力デバイスを使用できないようにし、さらに設定したデータの消去も可能です。

また、電源がオフになっている場合でも自動で電源を立ち上げロックまたは消去をする機能がある製品もあります。

シール型紛失防止デバイス

MAMORIO株式会社のMAMORIO FUDAはBluetoothを用いたシール型紛失防止デバイスです。ノートパソコンに貼ることにより、手元から離れた際に、専用アプリからアラートを受け取ることができ、置き忘れ防止ができます。有効距離は約60mで、有効距離の外に出てしまっても、最後にMAMORIO FUDAを検出した時刻と場所をアプリで確認することができ、紛失をなくす新しいIoT製品です。MAMORIO FUDA は、2018年日経優秀製品・サービス賞において「最優秀賞」を受賞しました。
MAMORIO FUDA ：https://mamorio.jp/fuda/

シンクライアント

シンクライアントとは、使用するパソコン側が担っていたはずの作業をサーバーに任せることで、通常パソコンを操っているかのように見せる仕組みです。OSやアプリ、ファイルなどのデータを全てサーバー上に格納し、ハードディスクを持たない端末からネットワークを経由し、サーバーで処理された結果を画面に表示しているだけなので、お客様の個人情報や企業の機密情報はパソコンには一切残りません。また、シンクライアント端末とネットワークさえあれば、どこからでもアクセスが可能です。

デメリットは、一人当たりのリソースが通常のパソコンに比べ制限があるため、使用するアプリケーションによってはとても重くなるケースがあります。そして、全てネットワークを経由し画面に表示するため、ネットワークの状態によって使い勝手に大きな影響を与えます。ネットワークが遅ければ、作業が遅くなり、また当然ながらオフライン状態では業務は一切行えません。

まとめ

パソコンを社外へ持ち出して仕事をすることのメリットはたくさんあります。この先どんどん普及し、今まで以上に社外で仕事がしやすい環境が作られていくのではないでしょうか。

しかし、リスクもあることを忘れないようにしましょう。パソコンやタブレット端末のセキュリティ対策を行うのと同じくらい、パソコンを持ち出す営業マンの意識を高くしていくことで、よりレベルの高い情報えい対策ができると考えられます。

企業はパソコン盗難・紛失の原因をきちんと把握して、IT資産管理と社内のセキュリティ意識向上の両面から対策をすることが必要です。