会社が個人PCを調査することに同意しますか?

会社が個人PCを調査することに同意しますか?スラッシュドット ジャパン より

情報漏洩問題を受けて、勤め先の会社が、個人が所有しているパソコンを第三者の立会いで調査することになりました。詳細は伏せますが、大体の経緯は次の通りです。 

情報漏洩が発生(ニュースにもなりました)。原因は、業務ファイルを持ち帰ってウィルス感染した自宅PC上で仕事したため。流出させた方は懲戒免職。

第二の情報漏洩を起こさないため、社員の自宅PCを第三者の立会いで調査するとの指示。調査内容は、業務ファイルが無いことと、会社で禁止しているソフトが使われていないかを確認するとのことでした。

会社からはたしかに個人PCで業務を行わないよう指示を受けていましたが、同意もなしに私物を調査されるのは納得できません。皆さんは会社が行う個人PCの調査についてどのように思われますか?

とても興味深いことだ。この投稿に対してのコメントも結構参考になる。

色々な問題が絡み合っているので、何が問題なのかがハッキリすることは難しい。

しかしその範囲内を上記は明らかに越えていると私は思う。

個人所有のパソコンであれば、会社は関与出来ないはず。会社所有でないからだ。

でも、パソコンの中身について言えば、

もしも会社のデータが入っていて

そのパソコンの情報管理(ウィルス対策など)が出来てなければ

漏洩する可能性はある。

その中身の会社情報データを探すにも、プライベートなデータまで含めてすべてを探さなければ探したいモノは見つからない。

この会社にはまったく関係のない個人的なデータを、見せる必要もなく、見られる権利もない。自分のパソコンの中身だからだ。

普通に考えて、パソコンは家の外に置いてあるモノではないから、自宅の中に入ってくることになる。

先日のデンソーなどは、この方法をとれば良かったのかもしれない。結果論だが・・・

情報の入れ物(パソコン)がコンテナになり、情報の中身(会社のデータ)がコンテンツになる。

ここでいうコンテンツは、アナログだと紙媒体などになり、デジタルだとデータになる。デジタルコンテンツの移動に必要なモノは、物理的にはUSBメモリーやフロッピー(今どき使ってるのか?)、インターネット的には、メール添付、Web経由のファイル転送など・・・方法は様々ある。

コンテナごと移動する場合は、個人所有のPCを持ち込んだか、会社所有のPCを持ち出したかのいずれかになるだろう。

個人所有のPC持ち込みは、ココではナイと考える。でないとややこしい。

会社PCを持ち出す場合、どれだけ悪意があって持ち出しをしているのだろうか?

ほとんどの場合は、悪意なく持ち出しているのが現状だ。

しかし悪意があってもなくても、漏れてしまえば情報漏洩には変わりない。

コンテナにはハードディスクなどの記憶媒体がある。

このPCであるコンテナを、従業員に置き換えた場合どうなるだろうか?

記憶媒体は頭の中になる。ナースなどは手の甲にボールペンなどで書いている。

コンテンツには変化がないだろう。あくまでも会社の情報だから・・・

会社側に立って考えれば意味は解らなくもないが、見つけたいモノが見つからなく、見つけたくない個人的なモノが見つかっちゃった場合、どっちにリスクがあるか?容易に想像がつく。

調べられる側に立った場合、悪意を持った確信犯の場合ならば、抜き打ち実施でもしない限り発見することは難しいだろう。仮に抜き打ち実施をしても、毎日出来る訳ではないのだから、証拠残さずにコトを進めることが出来る。

まったくの何も解らない状態の人であれば、知らないのだから、発見してはじめて解ることも大いにあると思う。

こんな状況でも、実施することに意味があり、コストもかかり、プライバシーまで侵害しかねないことに、もっとも大きなリスクがあると私は考える。

双方にリスクがあることをガラス張りにして、知ることからはじめなければ、確信犯を見つけることは難しいだろう。

もっと他に方法はある。

もっとも、このPC調査を理由に家庭環境の実態調査をしたいのであれば、話はかわる。

そんなコトまで、本当に出来るのだろうか?

すること(双方)にも、リスクがあることだけは間違いない。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。