お役立ち情報 従業員が100人を超えたら考えるべき情報セキュリティとは

はじめに

従業員数が100人を超えると、企業規模の拡大に伴って情報セキュリティに関する課題も増加します。

この記事では、従業員数の増加に伴う変化、発生する可能性のあるセキュリティリスク、そして取り組むべき対策について探ってみましょう。

ISMS認証(ISO27001)新規取得支援について見る

従業員が100人を超えると起こる変化

企業が保有する情報の増加

企業規模の拡大や事業継続年数の増加に比例し、企業が保有する情報は増えていきます。多くの企業が保有情報を都度整理していない場合が一般的で、「どこになにがあるのか」「だれが管理しているのか」が不明瞭なケースが多く、気づいたときには情報漏えいが発生してしまった、というケースも少なくありません。

また、情報の整理が出来ていないからこそ、部門毎に同じような資料を作成し運用してしまっており、業務効率が悪くなっていることもあります。

人が入れ替わる機会の増加

従業員が増えるということは、当然ながら入社する人がいるということです。新たに入社する人には、自社のルールを覚えてもらう必要があります。また、企業規模の拡大に伴って、退社する人数も一般的には増加する傾向にあります。返却物対応やアカウント整理、誓約書などの対応が必要です。

さらに、企業規模が大きくなると福利厚生なども整備されてくるため、退社ではなく一時的な休職と、それに伴う一時的な代替要員として派遣社員などの確保が発生することもあります。今までにない契約形態が発生する可能性があるため、マネジメントする側は注意が必要です。

システムやサービスの増加、乱立

100人未満の企業の場合、情報システムなどに関するルールが適切に整備されていない可能性があり、そのまま企業規模が拡大した場合はシャドーITが横行する可能性があります。

そのほか、業務の種類が増えることで利用するシステムの種類が増え、連携などにより社内システムが複雑化する可能性もあります。

変化から発生し得るセキュリティリスクを考える

従業員数が増加することで起こる変化について見てきましたが、その変化から発生し得るセキュリティリスクとしては、例えば次のようなことが挙げられます。

情報の管理不備によるリスク

  • 不要な情報が削除されず残ることで、思わぬ情報漏えいが発生する
  • 必要な情報を不要と勘違いして消してしまったり、どこにあるか分からなくなる
  • 漏えいや紛失したこと自体に気付けない

人の入れ替わりに関するリスク

  • 退職者のアカウント削除漏れにより、退職者がいつまでもアクセスできてしまう
  • 退職者が不正に情報を持ち出し、漏えいさせる
  • 新しく入社した人への教育が行き届かず、インシデントを起こしてしまう

システムサービスを自由に利用するリスク

  • 脆弱性のあるサービスを利用することで、インシデントが発生する
  • 管理者が知らない場所に情報資産を保管されることで、思わぬ漏えいが発生する
  • システムが増加し、連携などのトラブルなどが多発する

まず取り組むべき4つの対策

前述したリスクに対処するために、例えば次のような対策をおこなうことをおすすめします。

1. 情報の整理

まずは、以下項目における現状把握と整理をおこないましょう。

  • どの部署、どの業務において、どのような情報を取り扱っているのか
  • その情報の管理責任者は誰なのか
  • どこに保管されていて、いつまで保管する必要があるのか

情報を棚卸して一覧化し、前述の各項目が定まっていないものは検討し定義していくことが重要です。そのうえで、定期的な見直しを実施するフローを設け、適切に情報管理を行っていける仕組みを整えましょう。

2. 入退社手続きの整備

入社時の誓約書取得や教育の実施、退職時のアカウント削除や返却物確認をもれなく実施するためのフローを整備しましょう。

そのうえで、何を・いつ・だれが確認するか、また確実に確認をおこなったかを把握するためにチェックリストを用意するなどして、漏れが発生しない、発生した場合には気付けるような仕組み作りが大切です。

3. 情報セキュリティ教育のブラッシュアップ

情報セキュリティに関する教育を実施しましょう。入社した際はもちろん、その後も定期的に実施し、一般的な情報セキュリティの知識をアップデートするとともに、組織特有の情報セキュリティルールを周知することが大切です。

この際、ただ周知・伝達して終わるのではなく、内容を適切に理解したか確認するようにしましょう。できる限り、関連する業務にかかわる応用的な内容で、理解度を確認することが望ましいです。

当社では、「現場で活きるセキュリティ研修」を現役ISMS審査員含むコンサルタントが実施するサービスを提供しています。従業員、経営層、内部監査員向けなどさまざまなテーマや実施形式で、受講した方の意識/行動が変わる研修を実施します。セキュリティ教育にお悩みの方はぜひご相談ください。

セキュリティ研修支援について見る

4. システムサービスの棚卸とルール検討

まずはシステムやサービスの棚卸をしましょう。あらためて棚卸すると、思っている以上のシステム・サービスが発見される可能性があります。棚卸をおこなったうえで再度そのシステムやサービスがセキュリティの観点で問題ないかを確認することが望ましいです。

そのうえで統廃合できるもの、継続して利用するものについて整理しておきましょう。それにより、情報の管理レベルが向上し、漏えいや利用できなくなるようなインシデントを回避できるほか、今後の事業展開におけるシステムサービス導入時にスムーズな対応が可能となります。

まとめ

今回は、従業員が100人を超えたら考えるべき情報セキュリティをテーマに、従業員数の増加に伴う変化、発生する可能性のあるセキュリティリスク、取り組むべき対策を紹介しました。

企業規模が拡大すればするほど、情報資産の管理は難しくなり、事業継続に損害を与えうる情報漏えいなどのインシデント発生率も高まります。網羅的にセキュリティ対策をおこなうために、ISMSなどの情報セキュリティ認証の取得・運用も検討してみましょう。

LRM株式会社では、ISMS/ISO27001認証取得コンサルティングをはじめとした情報セキュリティ体制構築支援を行っています。高い専門性と豊富な実績をもとに、各組織の実態に合わせたルール・運用を提案し、社内に浸透しやすい「現場で活きるセキュリティ」を提供します。ISMS認証取得をご検討されている方や自社の情報セキュリティ運用にお悩みの方は、お気軽にご相談ください。

ISMS認証(ISO27001)新規取得支援について見る
お役立ち情報一覧に戻る

まずはお気軽にお問い合わせください

TEL03-5719-6234

お電話でのお問い合わせもお待ちしております。
受付:10:00~18:00 (土日祝日、年末年始は除く)