IT業界って客先常駐が多いですよね。
この数年、セキュリティ事件が数多く発生していますけど、これを受けて、ある程度大きな企業であれば、協力会社や派遣社員などの外注が社内常駐する際、契約書とは別に、個人単位でセキュリティに関する誓約書を書かせるところが増えてきました。
私の知る限り、その文面には、「セキュリティインシデントが発生した場合、調査に全面協力します」的な文言が大抵書かれています。でも、この文面を真正面から解釈すると、実は相当に恐ろしいと私は思うのです。
これって、あなたの行動が原因で情報漏洩絡みの損害がクライアント企業に生じた場合、状況証拠として作業PCの差し押さえもあり得るわけですよ。
一般的に、客先に出入りしている管理職レベルの人なら、自分のPCに自社の機密データをいくつか抱えているものです。他にも、以前他社に常駐した際に作った成果物などがたんまりPCの中に蓄積されていることも想像できます。
これを全部差し押さえられたら、自分の会社の機密漏えいになってしまいます。分かりやすい例を出して説明してみましょう。
あなたはI社の金融系エンジニアです。この3年間、A銀行で基幹システムおよびサービスの保守・運用に携わっていました。今年からはB銀行に常駐してプロジェクトを進めています。
しかし、運悪くあなたの所属するプロジェクトのいずれかのPCに未知のコンピュータウイルスが侵入し、今所属しているB銀行の資料が一部ネットに流出していることが分かったとします。このため、B銀行では当該プロジェクトにかかわっている人の作業PCを全てデータチェックすることになりました。この結果、あなたのPCもB銀行に一時押収されていまいます。
このとき、あなたのPCにB銀行以外の機密データが入っていたらどうしますか?
仕事をスムーズに進めるため、過去のプロジェクトで作った資料やデータは全てPCのHDDに保存していた、他チームが作っていたいくつかの重要な経営管理資料も一緒にコピーしていた、なんてことは結構よくある話です。これを押収された場合、今度はA銀行のデータが情報流出ということになってしまいます。
こんなことになったらどうするんですかね? 私がこんな状況に陥ったら、業界から抹殺されてしまうくらいヤバイです。
作業は必ずクライアント貸与PCでを使う、自社PCには過去のデータを保存しない、など対策を練っているIT企業もありますけど、おざなりにしているところをもあるみたいですよ。
あなたの会社もあなた自身も、大丈夫ですか?
著者紹介
吉澤準特 (ヨシザワジュントク)
外資系コンサルティング会社に勤務。守秘義務を破らない範囲でIT業界の裏話をつぶやきます。ファシリテーション、ビジネスフレームワーク、人材教育など執筆多数。日本能率協会、秀和システムそれぞれから書籍刊行。執筆依頼/インタビューお引き受けします。こっそりITIL Manager (v2)資格保有。
この記事は吉澤準特氏のブログ「IT業界の裏話」の過去記事を抜粋し適宜加筆・修正を行って転載しています。