オンラインストレージの個人利用は禁止すべき?クラウドサービスを適切に管理するヒントとは?
内部監査を実施した際、個人の意思で、クラウドのファイルストレージサービスや名刺管理ソフトを、一部の個人情報や機密情報を使用する業務で利用していることが判明しました。
業務上、確かに便利であると思いますが、利用者には個人情報保護の考えは及ばないのが実際のところでした。
利便性を考慮した場合、全面禁止は非現実的だとは思っております。
会社としての認可などどのように管理すればいいか、落としどころの問題があります。
適切に扱うためのヒントをいただければ幸いです。
ご質問ありがとうございます。内部監査で見つかった「個人の意思によるクラウド利用」は、現在のテレワークやDXの流れにおいて非常に多い事例です。
結論から申し上げますと、「個人の判断による利用」は直ちに是正が必要ですが、「会社が認可したルールに基づく利用」へと移行させることが、最も現実的かつ健全な解決策です。
プライバシーマーク(JIS Q 15001)の観点を踏まえ、適切に扱うための3つのステップを提案します。
1. 「個人判断」から「組織認可」への切り替え(是正措置)
まず、個人での利用がルール違反である場合は是正勧告が必要ですが、単に禁止するだけでは隠れて利用する「地下化」を招きます。
- 現状の可視化:
なぜそのツールが必要だったのか(例:外出先での名刺確認、大容量ファイルの送付など)をヒアリングし、業務上のニーズを正当に評価します。 - 例外なき原則の徹底:
「個人アカウントでの業務利用は禁止」とした上で、「業務に必要なツールは会社に申請し、承認を得て利用する」というフローを周知徹底します。
2. 現実的な「落とし所」としての管理策
利便性を損なわずにリスクを抑えるための管理手法には、以下のような選択肢があります。
- ホワイトリスト方式による「公認ツール」の選定:
会社がセキュリティ強度(多要素認証の有無、データの所在、バックアップ体制等)を確認し、認可したサービスのみを利用可能にします。 - 「法人契約」への移行:
個人アカウントではなく、会社が管理者権限を持つ「法人プラン」を導入します。これにより、従業員の退職時にアカウントを停止したり、ログを監視(モニタリング)したりすることが可能になり、個人情報のガバナンスが効くようになります。 - 利用ルール(ガイドライン)の策定:
「保存してよいデータの種類(機密性レベル)」や「保存期間(棚卸の頻度)」を明確にします。例えば、「特定個人情報(マイナンバー)はクラウド保存禁止」といった具体的な基準を設けます。
3. Pマーク運用における「安全管理措置」の視点
プライバシーマーク制度では、個人情報の漏洩を防ぐための「技術的・組織的安全管理措置」が求められます。
- 技術的対策:
回答にもありました「クライアント運用管理ソフト(資産管理ツール)」等の導入は、USBメモリの制限や未認可ソフトの起動制御に非常に有効です。 - 教育と意識改革:
最も重要なのは「個人情報は本人から預かっている大切なお預かりもの」という意識の共有です。利便性の裏にある「預かり主(本人)への責任」を教育を通じて再確認することが、再発防止の鍵となります。
最後に
個人意思でご利用していたことは、会社のルールを違反する行為なのであれば、直ちに是正する必要があります。考える際のポイントとしては、「個人情報は、あくまでも本人から預かっているもの」として、ルールを作るなどにより、利便性に対応すべきです。
業務の利用状況において、どのような利便性の問題があるのかを把握し、どのような対応(ルールを作る、ツールの導入など)を行うことで、リスク管理ができるかを見直す必要があるでしょう。
セキュリティと利便性はしばしば「トレードオフ(二律背反)」の関係にあると言われますが、適切なIT統制(ガバナンス)を効かせることで、その接点を見出すことが可能です。
利便性を重要視するあまり、保護(セキュリティ)が疎かにならないよう、ご注意ください。
