【特別寄稿】新型コロナウイルスの流行とサイバーセキュリティに関する留意点
(岡田 淳 弁護士)


 新型コロナウイルスの流行によって最も大きく変化したことの一つに、「働き方」が挙げられる。2020年4月の緊急事態宣言の発令に伴い、在宅勤務やウェブ会議は当たり前のこととなり、緊急事態宣言が解除された現在では、オフィスへの通勤も徐々に復活しているが、依然としてテレワークも広く活用されており、今後コロナが終息したとしても、ビフォーコロナと全く同一の働き方に戻ることはないだろう。ウィズコロナ、アフターコロナ時代においては、リアルオフィスに出社する形態と、テレワークを活用する形態の適正なバランスを各社ごとに模索することが、これまで以上に重要な経営課題となることが想定される。

 

テレワークの類型

 

 テレワークといっても様々な形態があり、①労働者の自宅で業務を行う「在宅勤務」のほかに、②労働者の属するメインのオフィス以外に設けられたオフィスを利用する「サテライトオフィス勤務」、③ノートパソコンや携帯電話等を活用して臨機応変に選択した場所で業務を行う「モバイル勤務」などに分類される。

 いずれの形態においても、インターネットを活用した業務の重要性が高く、オフィス内とはセキュリティ環境も異なるため、サイバーセキュリティの観点からは様々な点に留意する必要がある。なお、近時はコワーキングスペースのような共同利用型オフィスの活用も広がっており、自社従業員以外の第三者が同一スペースに立ち入って作業することがあるため、そのような観点でのセキュリティ対策(一例として、一般社団法人セキュアIoTプラットフォーム協議会が公表した「共同利用型オフィス等で備えたいセキュリティ対策について」も参照)も重要となっている。

 

テレワークにおけるサイバーセキュリティ

 

 既に、新型コロナウイルスの流行に乗じたフィッシングメールやなりすましメールとして、マスクの送付や購入に関するものや、定額給付金の申請や書類の受取・振込先口座の本人確認に関するものなどが確認されており、テレワークによるインターネットを利用した業務関係情報の取り扱いを狙ったサイバー攻撃が懸念される。さらには、在宅勤務が進んで工場の遠隔操作も広がる中で、IoTの普及によりネットワークにつながった工場がサイバー攻撃に晒される事例も報道されている。ランサムウエア(身代金要求ウイルス)に感染し、社内ネットワークを介してパソコンや工場の機器などに被害が広がるケースはその典型例である。

 また、サイバーセキュリティといえば、外部からのサイバー攻撃への対策が主に想起されるが、それ以外にも、内部不正対策など、データを保護するための安全管理措置全般が含まれることに留意する必要がある。

 

 テレワークにおけるセキュリティ対策としては、総務省が2018年4月に公表した「テレワークセキュリティガイドライン(第4版)」や、独立行政法人情報処理推進機構が2020年4月に公表した「テレワークを行う際のセキュリティ上の注意事項」などが参考になる。総務省の上記ガイドラインは、以下のように「ルール」「人」「技術」のバランスが取れたセキュリティ対策が必要であるとしている。

 

①「ルール」の観点

リスク管理体制やセキュリティポリシー、テレワークに関する規程類を整備するなどして、組織として対策を行うことが必要である。テレワークの実施に際しても、どのレベルの情報であればテレワークによる利用を認めるのか、認める場合の情報取扱いの方法など、テレワークに特有の点を意識しつつ、セキュリティに配慮した形での業務の「ルール」を定める必要がある。

なお、言うまでもなく、単に規程類を策定するだけでは不十分であり、それを遵守できるような仕組み(例:研修・教育、分かりやすい説明資料の作成)を整えることや、有事対応の訓練を実施することも重要である。

 

②「人」の観点

テレワークを行う際には、一人一人の従業員がセキュリティの重要性を適切に認識した上で、以下のような点に留意しながら業務を行うことが重要である。

  • 複雑なパスワードや多要素認証を使うこと
  • システムやセキュリティソフト等を最新版にアップデートすること
  • 業務を装うメールや不審なメールに注意し、不注意でリンクをクリックしたり添付ファイルを開いたりしないこと
  • 通信を暗号化すること
  • 端末の盗難、紛失に注意し、端末内のデータを最小化し、有事の際にデータ消去できるようにすること
  • 無線LANのセキュリティ設定を十分に行うこと
  • 有事の際の連絡手順を予め確認しておくこと

 

③「技術」の観点

企業としての技術的な対策は、テレワークであるか否かを問わず極めて重要であるが、情報のレベル分けを含め、改めてテレワークに特有の環境を考慮し、アクセス制御等の技術的な手段を用いてセキュリティを確保する必要がある。
 また、テレワークへの対応として、これまで企業内部で厳密に保管されていた営業秘密に該当する秘密情報を紙媒体で持ち帰り、或いは自宅等から共有ドライブにアクセスして業務を遂行するに際し、いかにして営業秘密として法的に保護された状態を維持するか、という観点も重要になってくる。その観点からは、経済産業省が2020年5月に公表した「テレワーク時における秘密情報管理のポイント(Q&A解説)」も参考になる。ここでは、情報漏えいや不正持出しがあった場合に備えた対策として、以下のような具体例も挙げられている。

(未然の防止策)
情報漏えい行為を実施しにくい状況を作り出すための工夫として例えば以下のような対策を行うこと。

  • メールの転送制限
  • メールへのファイル添付の制限
  • メールを送信する際に上長の承認を必要とする設定
  • メールを送信する際に上長が常にCCに追加される設定
  • 遠隔操作によりPC内のデータを消去できるツールの利用
  • 社用PCにUSBやスマートフォンを接続できないようにする設定
  • コピー防止用紙やコピーガード付きの記録媒体等の利用
  • プリントアウトの制限 等

(事後的な対応を可能とするための対策)

  • データの暗号化による閲覧制限
  • PCのシンクライアント化
  • 従業員による営業秘密へのアクセスやダウンロードのログの保存
  • 一定回数、パスワード認証に失敗すると秘密情報を消去できるツールの利用 等

 

 以上のとおり、新型コロナウイルスの流行がもたらしたテレワークの普及に伴うサイバーセキュリティの問題は、企業の業種・規模を問わず経営課題としての重要性を増している。サイバーセキュリティはIT部門による単なる技術的な対策ではなく、経営者が率先して行うべき全社的な経営上の取組みであることを強く意識することが求められており、そのことはウィズコロナ、アフターコロナ時代においても変わることがないであろう。

森・濱田松本法律事務所

パートナー弁護士 岡田 淳

関連記事