わたしが以前に勤めていた会社はプライバシーマークを取得していました。プライバシーマークは、JISQ15001(個人情報保護マネジメントシステム ― 要求事項)という、事業者が取り扱う個人情報を適切に管理するための標準である、日本規格協会の原案によって策定された日本工業規格に基づく認証です。
プライバシーマークの認証は、日本情報経済社会推進協会(JIPDEC)により行われます。更新は、2年毎です。
プライバシーマークの体制で、わたしは「個人情報保護監査責任者」という役割をはたしていました。個人情報保護監査責任者は、内部監査を指揮する役割です。個人情報保護管理者の仕事をチェックします。 ちなみに、個人情報保護管理者は個人情報保護マネジメントシステム全体を統括する、プライバシーマーク体制の中心的な役割です。
内部監査では社員に対し、個人情報を適切に取り扱っているかを定期的にチェックシートに記載をして、提出するようにしていました。
この会社は規模は小さいのですが、出版や映像番組の制作など、多様なビジネスを行っていました。出版や映像制作は紙媒体による情報のやり取りがほとんどです。机の上には読者からのアンケートが山積みにされ、企画書などの個人情報が書かれた機密文書がロッカーをはみ出し、無造作に段ボールに詰められていました。執務室への入退室管理はパスワード認証を行っているものの、入室してしまえば、いとも簡単に簡単に個人情報、機密文章を見ることが出来る有様でした。
社員の情報セキュリティに対する意識は皆無でした。そもそも、紙文書を電子化する発想自体ありません。むしろ、気軽に電子メールなどを使うより、手紙の方が相手に誠意が伝わると考える職人気質の社員が多い職場でした。
紙文書を電子化するいちばんの目的は、情報の共有化を促進することです。しかし、職人気質の集団は、情報は個人の財産という発想が強くあります。情報共有の意義を理解していないので電子化は遅々として進みません。
プライバシーマークを取得するために絶対に必要な要件として「クリアデスク・クリアスクリーン」があります。
クリアデスクは、離席したり退社する際に、机の上に文書を置きっぱなしにしないことです。クリアデスクを実現するには、移動や退社する際、机に置かれた紙文書や外部記録媒体を鍵付きのロッカーや引き出しにキチンとしまう習慣をつける必要があります。
クリアスクリーンは、離席する際に、パソコンの画面を他人がのぞき見されない状態にすることです。クリアスクリーンを実現するには、パソコンが一定時間(10分など)操作されないと自動的にパスワード付きのスクリーンセーバーが起動したり、自動的にログオフするように設定する必要があります。
ある日、出版部門の社員の机の上に個人情報が書かれたアンケートのハガキが山積みされているのを見かねた個人情報保護管理者であるT君がロッカーのなかにしまうよう諭したところー
アンケートは常に目の届くところに置いていることに意味があるんだよ!
と、叱られていて気の毒だと思いました。情報セキュリティの観点でみると、紙文書は多くの脅威があります。机の上に置かれた個人情報・機密情報が簡単に外部に持ち出しされる可能性があるだけだけなく、仕事と直接関係しない社員が興味本位で個人情報を覗くかもしれません。窓から風が吹き込んで、机のうえにある紙が床に落ち、それをゴミだと思った部外者が誤ってゴミ箱に入れるかもしれません。そうすると、目の届くところに置いたはずの情報が、意図せずに紛失してしまいます。
また、ゴミ箱に捨てられた個人情報を不正にあさる人がいるかもしれません。これはスキャベンジングと呼ばれるソーシャルエンジニアリングによる情報セキュリティ事故です。ソーシャルエンジニアリングとは、技術的な攻撃を仕掛けるのではなく、人にかかわる管理的・心理的な脆弱性突く攻撃の総称です。また、スキャベンジングはゴミあさりの意味ですが、これはハイエナやカラスのような動物の死骸やゴミのなかにある食品を食べるスカベンジャーから派生しているようです。
情報セキュリティ事故と聞くと、多くの方がEmotet(エモテット)などのマルウェアによって情報機器が感染し、機器の電子媒体から個人情報が漏洩していくことをイメージすると思います。しかし、電子媒体と同様に紙媒体にも情報セキュリティ事故につながる事例が多くあります。そして、紙媒体を中心とした仕事をしている社員の多くは情報セキュリティのリテラシーが低いことが、情報セキュリティの維持を難しくしていると思います。
