近年、ウイルス感染被害や個人情報漏えい、ホームページ改ざんなど、セキュリティ上の事故や事件が相次ぎ、セキュリティ対策の必要性が高まっています。 セキュリティ対策という言葉から、何を連想するでしょうか。ウイルス対策、ファイアウォールの設置、サーバルームなどの物理的セキュリティの確保、などでしょうか。セキュリティ技術の導入や物理的セキュリティの確保はセキュリティ対策の重要なポイントです。しかし、これらの対策が適切に運用されなければ、セキュリティ対策は無駄に終わってしまいます。 「セキュリティポリシー編」では、セキュリティ対策を適切に運用するために必要な「セキュリティポリシー」について学びます。セキュリティポリシーは、日常業務におけるセキュリティ対策上の行動指針ともいえるものです。 セキュリティポリシーがないことで、どのような問題が発生する可能性があるのでしょうか。

企業の機密情報漏えいが起きる原因は、外部からの不正アクセスだけではありません。実はオフィスのさまざまな場所から情報は漏えいしているのです。 顧客リストを印刷した紙、「社外秘」と書かれた回覧、顧客の連絡先をメモした紙片などをゴミ箱に捨てると、清掃業者になりすましてオフィスに侵入した第三者に機密情報を持ち去られる可能性があります。 書類が乱雑に積まれた山、机の上に放置されたフロッピーディスクやCDなどの媒体、離席時も電源を入れたままのパソコンのディスプレイ、など。机の上の整理整頓を怠ると、オフィスに侵入した第三者が機密文書や媒体を持ち去っても紛失に気付かなかったり、不在時にディスプレイに表示された情報を読まれたり、盗撮されたりする可能性があります。 機密文書を通勤電車の中で読む、機密情報を私用のモバイルパソコンにコピーする、社内で使用しているノートパソコンを勝手に持ち出す、など安易に機密情報をオフィスの外に持ち出すと、情報が盗み読みされる、ノートパソコンを盗まれて情報を読まれる、などの可能性があります。

外部の企業などへ業務委託を行う場合、業務委託先に対して業務に必要な機密情報の開示を行う場合がありますが、このような場合、開示した機密情報は適切に保護されなければなりません。

そのため、業務委託契約書には機密保護に関する記述が行われ、業務委託の条件として「セキュリティポリシー」が盛り込まれる場合があります。 セキュリティポリシーがないために、情報セキュリティ対策が適切に運用されていないとみなされ、「そのような企業とは取引できない」として、取引停止になったり、契約が成立しなかったりする可能性があります。取引が成立しないということは、本来の企業活動にとって大きな損失になります。