そのノートパソコンは必須なのか?
予防策も大きく二つに分類できる。
一つはルールや取り扱い手順を定めるという、人間を管理する目的のもので、もう一つはソフトウエアを導入するなどの技術的な対策である。
情報を取り扱う手順を定型化する目的は、ヒューマンファクターの排除にある。都度セキュリティ上適切に判断できるスタッフばかりであれば、特に手順を定める必要も無いが、実際にはそんなことはまずありえない。手順の定型化はどうしても必要になってくる。さらには、定型化した手順を逸脱しないようにルールを定めて、手順の徹底をはかる。
もう一つは、保護の対象となるデータをソフトウエアなどで守る、いわゆる技術的な対策である。目的は主にその情報(ファイル、データ)へのアクセスを制御することにある。その情報を見てもいい人は誰なのか、編集してもいい人は誰なのか、そうした制御ルールを定めて、そのとおりにソフトウエアを設定してコントロールする。
とはいえ、まずはノートパソコンを使うこと自体の是非から検討すべきだ。やむを得ずノートパソコンを使わなければならない、そういう業務上の要請があるとしても、はたして社員全員が使わなければならないのか、その点も検討すべきであろう。
ノートパソコンは(今あるすべてが)業務上必須なのだろうか?
それを量るには、すでにノートパソコンを大量に導入していたとしても、それをすべてデスクトップ型(据え置き型)に変更してみて不都合が生じないかどうかを考えてみるといいだろう。そのような使い方を強いても特に不便が無いのであれば、そもそもそういう体制、およびルールにすべきだろう。買ってしまった資産を今さらどうにでもできないということなら、ノートパソコンを物理的に持ち出せないように、勤務机にワイアでくくりつける、という手もある*1。
どうしてもノートパソコンを業務上使いたいとき
しかし、ノートパソコンをお客さんのところに持って行って、そこで積極的に営業活動を行うことに活用したい、ということであれば、使いながら安全を保つ方法を考えることが必要になる。セキュリティは確かに重要だが、それを至上とし過ぎて本業に無理を強いるかどうかは、経営判断、あるいは部署のマネジメント判断としてしっかり考えるべきであろう。もちろんそれ以前に、セキュリティ対策を何ら実施していない、というのは論外だが。
しかし、実際のところ安全にノートパソコンを活用する、ということは可能なのだろうか?
まず、ノートパソコンの使い方を考えるところから始めてみよう。ノートパソコンの用途は何だろうか?出張、営業活動、自宅での活用、出先でのメール処理などが一般的には用途として上がるだろうか。とにかく現在の使われ方について、ここでも列挙してみる。
次に、列挙した用途を眺めながら、共通項を洗い出す。その際ポイントになるのは、「紛失・漏洩したときに困るような大事な情報」を扱っているかどうかである。さらに言えば、「ウチの会社にとって漏洩すると困る情報とは何か」を把握しておかなければ、そうした分析はできないはずだ。
もしそこで、個人情報などを実際に取り扱っていたとしよう。それは本当に必要な「取り扱い」なのだろうか?を単に便利だから、とか、面倒だから、などの理由で安直に取り扱っているだけではないだろうか?業務上必須でないのであれば、そもそもノートパソコンに乗せること自体危険なのだから、ルール化するなり、技術的対策を講じるなりしてそうした取り扱い方は避けるべきだろう。
ちなみに「ルール」というのは、ある意味性善説に則ったものであり、技術的対策は逆に性悪説に基づいていると考えていいだろう。「ルール」は人が守るであろうことを想定しているのであって、技術的対策は人は誰しもミスをするし、ルールを破ろうと考えることもあるから、そういう事態を想定している。安全なのは後者だが、とはいえ技術的対策を導入するためには、予算やノウハウを持った人材の確保などの決して低くはないハードルがある。ルールによる対策も視野に入れながら、自社にとって適正な両者のバランスを考えていくべきであろう。
*1:モバイルPCをワイアでくくりつけるというのも笑い話に近いが
