利便性を考慮した、個人の意思でのクラウドストレージサービスや名刺管理ソフトの利用制限。
内部監査を実施した際、個人の意思で、クラウドのファイルストレージサービスや名刺管理ソフトを、一部の個人情報や機密情報を使用する業務で利用していることが判明しました。
業務上、確かに便利であると思いますが、利用者には個人情報保護の考えは及ばないのが実際のところでした。
利便性を考慮した場合、全面禁止は非現実的だとは思っております。
会社としての認可などどのように管理すればいいか、落としどころの問題があります。
適切に扱うためのヒントをいただければ幸いです。
個人意思でご利用していたことは、会社のルールを違反する行為なのであれば、直ちに是正する必要があるかと思います。
考える際のポイントとしては、「個人情報は、あくまでも本人から預かっているもの」として、ルールを作るなどにより、利便性に対応すべきだと思います。
業務の利用状況において、どのような利便性の問題があるのかを把握し、どのような対応(ルールを作る、ツールの導入など)を行うことで、リスク管理ができるかを見直す必要があるでしょう。
例えば、ルール、運用、管理としては、個人でのインストールは原則禁止として、必要な場合は申請を行ってもらい会社の管理下(定期的な棚卸も行う)に置くなど。また、費用は掛かりますがクライアント運用管理ソフトウェアなどの活用も一つの方法だと思います。
利便性を重要視するあまり、保護(セキュリティ)が疎かにならないよう、ご注意ください。