収束に向かっていたと思われていたアリコの情報流出事件ですが、被害が拡大していることが明らかになりました。
情報流出は社内(業務委託を含む)の人間が関わっていることが大変多くなってきています。
以前の記事でも「情報セキュリティ教育は経営者の責任」と書きましたが、それ以外に経営者が取るべき、そして経営者がトップダウンで指示できることがあります。
それは、「強制的な休暇」です。
これも、情報セキュリティ対策の様々な方策の一つなのです。
「定期的に休暇を取らせることで、不正を行う機会を減らす」効果を期待するものです。
確かに物理的に情報を扱える場所にいなければ不正はできないのですが、これには前提条件が必須です。「休暇中にその社員に仕事の連絡をしない、させない」こと。
私は10数年システム開発・保守を行ってきたのですが、休暇中でも仕事の電話は鳴りましたし、必要があれば自宅からPCでシステムにも入りました(もちろん、セキュアな環境からですが)。せっかく休暇を取らせても社外から情報にアクセスをしたら、意味がありません。
セキュリティ対策の一環としての「休暇」はその取得と、休暇を取っている社員に情報を触らせないことが必須です。そのためには、経営者がその周知徹底をさせることが必要です。
小規模企業ではシステム担当やセキュリティ担当者が一人(複数人いても実質は一人)という場合もあると思います。そのような場合、困るとついつい連絡をして聞く、その人にやってもらえば「早いから」頼んでしまうことが多々あると思います。
それを避けるために、経営者からトップダウンで周知させることが必要なのです。
