企業での情報漏えい対策をするときには、きちんと基本方針を定めるとともにそこから実行可能な管理マニュアルを策定していくことが大切です。
具体的な方法としてはまず、会社の情報を個人的に扱う際には会社の許可を必ず取る必要があるようにしたり、許可のない持ち出し、廃棄、放置、持ち込みを禁止にするといった方法です。
この場合の許可は通常情報管理責任者ということになりますが、その企業内の組織によっては情報管理責任者は専任ではなく、他の業務と兼任して行なっていることもあります。
そのような兼任管理責任者の場合、持ち出しをしたい社員がいる場合に不在であったり、許可の是非をよく精査することができないままOKを出さなくてはならなくなるといった問題もあります。
そのようなそもそも実行が難しい管理方法がとられてしまっていると、結果的に「やむを得ないのだからいいだろう」という意識を従業員側に作ってしまい、次第に規制が甘くなっていくという事にもなります。
社内の従業員であってもNG
情報漏えいを防ぐためのチェック方法は、できるだけ簡便なものにするとともに、誰がいつ、どのようにして持ちだしたかがすぐにわかるようにしておくことが大切です。
例えば、許可を人的なものにしてしまうと上記のような状況が起きてしまうため、あらかじめ作成する文書について重要度をレベル分けしておくとともに、その書類にアクセスできる権限を限定させるという方法が有効です。
持ち出しが必要になる機会というのはその書類によってほとんどの場合で想定が可能であるため、外部からアクセスができるようにするかをきっちりとパスワードで管理をして、権限のない人は社内の従業員であってもアクセスをできないようにしておきます。
個人的な感情や都合が優先される
属人的な管理に依存をしすぎてしまうと、どうしても個人的な感情や都合が優先されてしまうので、セキュリティポリシーではできるだけ例外を認める必要のない方法によるようにするのがよい方法と言えます。
参考サイト:http://www.ipa.go.jp/files/000024455.pdf
また、権限とは別に書類を作成・使用する人の意識の改善も必要です。
しばしばニュースになることとして、社内で使用しているパソコンをそのまま持ちだして車内に置きっぱなしにしていたり、不用意に公共の場所で使用をしたりといった事例があります。
酔ってトイレに置き忘れたり、同じパソコンで違法なファイル共有ソフトを使用したりといった言語道断なことも残念なことに珍しくありません。
セキュリティポリシーを社内全体に周知徹底させるとともに、個々人が責任のある行動をとるよう責任者は何度も呼びかけていく必要があります。