こんにちは。
先日、とある企業様で「情報セキュリティの社内ルール」について、ご相談をいただきました。
そこで今回は、社内ルールの運用についてお話したいと思います。
情報セキュリティに関するルールはあるはずだけど…
「セキュリティに関する社内規定は決まっているはずだけど、運用されていない…」
「規程があったことをそもそもしらなかった!」
といったお話を良く伺います。
先日ご相談いただいた企業様は、スピード重視でがつがつと業務をこなしていくスタイルの、成長中の企業様です。この企業様は、下記のような問題を抱えていらっしゃいました。
- かっちりとした情報セキュリティに関するルールはあるが、運用されていない
- 新しく入った社員にルールの周知がされていない
- 業務の中で運用していくのが難しいルールになっている
- USBや携帯電話などの扱いが決まっていない
このような悩みを抱えた企業様は、たくさんいらっしゃると思います。
セキュリティを重視するのは大事なことですが、だからといってガチガチに厳しいルールを作って業務に支障をきたしてしまっては意味がありません。
セキュリティ強化に失敗した例
実際にセキュリティを重視しすぎて運用がうまくいかなかった例として、とある企業様の「スクリーンセーバ」のお話があります。
プライバシーマーク取得の際に、要求事項として、スクリーンセーバを設定するという局面があります。そこで、最初に「しっかりやっていこう!」と、その企業様ではスクリーンセーバの起動時間を3分に設定しました。
しかし、実際運用の際に、設定はしたものの「業務に支障が出る」「不便!」という理由で、勝手に設定をOFFにしてしまう従業員さんが出ました。
これでは、何のためにスクリーンセーバを設定したのか分かりません…
ここで問題なのは、セキュリティを重視しすぎて、実務にかかる負担や、発生しうる不便さを考慮しきれなかった点です。
セキュリティを重視するに当たって、これまでと全く同じように業務をおこなうことは出来ないような、やむを得ない状況はあると思います。
しかし、ルールを形骸化しないためにも、業務を考慮しつつ、リスクを軽減できるような、「生きたルール」を作っていきましょう!
ではまた~。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/privacy-mark/blog/wp-content/themes/blog/images/f_tel.png){kind=small}