叡智の三猿

~森羅万象を情報セキュリティで捉える~

「2025年の崖」まであと3年

経済産業省が発信した「DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~」では、DX推進の必要性を「2025年の崖」という強い表現を用いて解説しています。

※「2025年の崖」の概要はこちらを参照ください。
www.three-wise-monkeys.com

「2025年の崖」から転落しそうな会社とそうでない会社の見極めは、ITがどれだけ会社の仕事のなかで浸透しているかに関わっているんだと思います。

新型コロナによる緊急事態宣言が発令されたとき、多くの会社がテレワークを推進しました。

しかしいまは会社によって対応が異なります。

  • コロナをきっかけとして、ほぼ100%テレワークが定着した会社があります。
  • 緊急事態宣言の解除とともに、ほぼ元通りの出社形態に戻した会社があります。
  • 出社に戻す一方で、テレワークを週2回まで認めるような制度を作った会社があります。

会社によって対応が異なるのは、仕事のなかのITの浸透度合いが違うからです。

テレワークから出社に戻す会社はITが浸透していない会社です。そういう会社は大量の書類と押印で仕事を回しています。紙の文書を前提に仕事をしている会社がテレワークをしようとしたら、押印された紙の情報をスキャナーで取り込み、電子化する必要があります。電子化をするために社員は定期的に出社をしなければなりません。それだけの手間をかけてテレワークに移行してもメリットがありません。

紙の文書で仕事を回す会社はDXが遅れているので「2025年の崖」から転落する有力候補だと思います。

ところで100%テレワークが実現している会社と、出社しなければならない会社のどちらが良いのでしょうか?

自分がそこで働くことをイメージすると、その答えは難しいと思います。テレワークのいちばんのメリットは通勤からの解放です。意外に通勤は体力を使います。通勤の疲れは運動の疲れとは別物でそこに爽快感はありません。通勤がなくなれば嫌な疲れがなくなり、通勤時間も有効活用できます。

一方、テレワークになると同僚とのふれあう機会が減ります。それは寂しく、孤独です。もちろん、テレワークでもチャットやオンライン会議を介して、会話はできます。しかし、それは仕事に関連する話に限定されます。なにげない雑談がしにくくなるので、それが慢性的なストレスになったりします。

では、自分の個人情報を預ける会社が100%テレワークだった場合と、出社を原則とする会社だった場合、どちらに安心感が持てるでしょうか!?

これは、出社を原則とする会社のほうが安心感が持てると思います。

自分の個人情報が見知らぬ人の自宅にあるパソコンで見られていることを想像すると嫌な気分になります。

事業者が個人情報の取扱いを適切に行う体制等を整備していることを客観的に評価する仕組みのひとつにプライバシーマーク制度があります。

プライバシーマークはテレワークを実施している会社でも取得が可能です。テレワークであっても、個人情報を適切に取り扱うことができるルールを定められていることが前提です。

そのためには、自宅で作業をする際、以下のようなルールが必要でしょう。

  • 通信はVPNに接続する。
  • 無線の認証は安全性の高い方式とする(WEPは使用しない)。

www.three-wise-monkeys.com

  • パソコンをのぞき見(ショルダーハック)されないような対策を施す(のぞき見防止フィルターなど)。
  • カフェなどの共用スペースで個人情報を扱う仕事はしない。
  • パソコンの操作ログを取得し定期的に管理者が確認する。
  • 個人情報の記載された紙文書は自宅の鍵付きロッカーに保管する。

実際にプライバシーマークを取得するには現地審査が必要です。これは個人情報を扱う業務が行われている場所に審査員の方がやってきて行われる審査です。このとき、個人情報を扱う業務がオフィスであれば、オフィスで現地審査が行われます。

わたしはプライバシーマークを取得している会社で働いていたとき、個人情報監査責任者という役割を担っていました。現地審査の日、社員は高い緊張感をもって審査員と応対していました。

もし、完全なテレワークだとしたら、自宅で現地審査が行われるでしょう。

自宅での現地審査はかなりハードルが高いと思います。客観的にみて自宅で仕事をしている社員が個人情報の取り扱いルールを完全に順守するのは難しいと思います。

こう考えると、テレワークを推進している会社よりも、出社を前提にしている会社のほうが、情報セキュリティ認証が容易です。ということは、出社を前提にした会社のほうが、セキュリティ対策の優れている会社と世間からみなされやすいといえます。

2004年にスウェーデンのエリック・ストルターマン教授はDXを次のように定義しました。

  • ITの浸透が、人々の生活をあらゆる面でより良い方向に変化させること

「2025年の崖」まであと3年あります。そこに向けたDXの推進には大きな障壁がいくつもあるように思います。