企業のUSBメモリ等の電子記録媒体の持ち出しについてのルールは?
IPAが企業・組織におけるテレワークのセキュリティ実態調査の結果を公開
IPAでは、2020年11月に「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」(2020年度調査)を行い、急速なICT環境の変化がセキュリティ対策や、ITシステム開発やITサービス提供などの業務委託契約内容にどのような影響を与えているかを調査した。
その結果、事業継続が優先され、セキュリティ対策が緩和されたり、ルール整備や確認作業が不十分なままにされており、ガバナンスの低下が懸念される結果となった。
2021年度になっても次々出現する変異株に感染者数が増減し悩まされたが、ワクチン接種が進み、徐々に経済活動もコロナ以前の状態に戻ってきた。2020年度調査から1年以上が経過し、テレワークにも慣れ、アフターコロナの仕事の進め方についても検討が始まった2022年2月に2020年度調査からの変化を確認するため「企業・組織におけるテレワークのセキュリティ実態調査」(2021年度調査)を実施した。
2021年度調査では、順守状況の確認やルールの見直し等で改善が見られたが、一方、特例や例外による一時的なセキュリティの緩和が戻っておらず、リスクの増大が懸念される結果となった。また、情報技術関連企業が多い委託先(ITベンダー)に比べて、委託元(ITユーザー)ではテレワークにおけるセキュリティ対策の進行が遅く、差が大きくなっている様子がわかった。
調査結果のポイント
1.コロナ禍でのセキュリティ対策の特例や例外が増加・長期化している
「設問:貴社では、緊急事態宣言中またはコロナ禍により特例や例外を認めなければならないセキュリティ対策の社内規定・規定・手順等はありましたか。」に対する回答のうち、「機密情報の社外持ち出し(機密情報が含まれる書類・USBメモリ等の電子記録媒体)」「機密情報を保存することができる会社支給PCの持ち出し」についての結果は以下のとおり。
その他、「機密情報の個人所有PCへの保存」「機密情報の社外での印刷」「機密情報のクラウドストレージサービスへの保存」「個人所有PCの業務利用(BYOD)」「会社が許可していないアプリケーション・ソフトウェア・クラウドサービスの業務利用」など、いくつかの例外や特例について確認されている。
機密情報を含む電子記録媒体や会社支給PCの持ち出しについて、特例や例外で一時的に認めた組織の割合が2020年度調査の結果よりも増えている。コロナ禍の制限された環境下において事業を継続するため、特例や例外により条件の緩和や手続きを簡略にすることはやむを得ない状況であったかもしれないが、特例や例外でセキュリティ対策は脆弱になるため、その状態が常態化してしまうことは、リスクを増大させることになる。利用禁止に戻す、あるいは別の対策の追加やルール化して利用を許可するなどの対策の実施が必要と思われる。
2.委託元(ITユーザ)の3割以上がテレワークに関する社内規定・規則・手順の順守状態の確認を実施していない
「設問:貴社では、社員がテレワークに関する社内規程・規則・手順等を守っていることを何らかの方法で確認していますか(いましたか)。」に対する回答は以下のとおり。
2020年度調査の結果よりも順守状況の確認をする組織は増加しており、改善されている。しかし、委託元(ITユーザ)の3割以上では「確認していない」と回答している。
規定や手順が取り決められていても、順守状況を確認できていないことにより、内部不正の機会が増加や、気づかないうちに規定に違反していることが原因でセキュリティインシデントが発生するなどの恐れがある。2021年度調査では、更に確認方法について質問をした。その結果、確認していると回答した組織の6割以上がセルフチェック(自分で確認し報告)をしている。
3.委託元(ITユーザ)ではテレワークを考慮した業務委託契約が進んでいない
「設問:貴社では2021年4月1日から現在(2022年1月31日)までの業務委託契約において、委託先との間の契約書・仕様書/利用規約・SLAの中で、情報セキュリティ上の要求事項を取り決めましたか。」に対する回答は以下のとおり。
なお、委託元(ITユーザ)が回答者の場合は委託先(ITベンダ)との業務委託契約、委託先(ITベンダ)が回答者の場合は再委託先(ITベンダ)との業務委託契約である。
また、回答者は委託先や再委託先がテレワークを実施することを条件付き、あるいは、特に制限せずに認めていると回答した組織。
委託元(ITユーザ)は取り決めた割合が10.2~21.2%であるのに対し、委託先(ITベンダ)は41.7~57.8%と大きな差がある。2021年度調査では委託先(ITベンダ)のテレワークの導入率は97%と非常に高く、実施割合は全社員の50~80%未満、実施頻度は週3~4回が最も多い回答であった(調査報告書参照)。 このように委託先(ITベンダ)ではテレワークで業務を行う可能性が高く、再委託先(ITベンダ)に対してもテレワーク時のセキュリティ対策について意識されている。委託元(ITユーザ)も業務委託する際は、テレワークで実施されてもよい業務なのか、情報の安全は確保されるのかといったことを確認・検討し、取り決めをすることが大切である。
詳細は下記より報告書のダウンロードして確認してほしい
調査報告書(PDF:1.5MB)
調査票(PDF:1.3MB)
単純集計結果(PDF:1.3B)