1d88413e690f742dbdc9d4247d100d66 - テレワーク導入企業のISMS認証取得は可能?4つの対策方法を紹介

テレワーク導入企業のISMS認証取得は可能?4つの対策方法を紹介

公開日:2020.02.27 最終更新日:2020.07.15

※この記事は2020年7月6日に更新されました。

テレワークを取り入れる企業も増えている昨今。
しかし、社内とは異なり、情報管理がしっかりと行われているのか? という点は不透明です。
そのため、テレワークを導入していてもISMS(ISO27001)認証を取得できるのか不安に感じてしまいますよね。

そこで、今回はテレワーク導入企業がISMS認証を取得する際の注意点を解説します。
情報セキュリティ管理に力を入れたい事業者様は、ぜひご一読ください。

おさらい:ISMS(ISO27001)認証とは

テレワークの環境でも情報管理を徹底すればISMS認証の取得は可能

情報セキュリティの管理体制を証明するのがISMS

ご存じの事業者様ばかりでしょうが、ここで簡単にISMS認証についておさらいします。
ISMS認証とは、情報を適切に取り扱うためのマネジメントシステムの規格(ISO27001)を満たしている企業に付与される認証です。

社内外におけるセキュリティ対策を行っていることの証明となり、社内のコンプライアンス意識の向上や、取引先企業からの信用を得やすいといったメリットがあります。

ISMS(ISO27001)について、詳しくはこちらの記事で解説しています。

テレワークを導入していてもISMS認証は取得できるの?

結論から申しますと、テレワークを実施している企業であっても、情報セキュリティマネジメント認証であるISMS(ISO27001)の取得は可能です。

実際に、テレワークを導入していて、尚且つISMS認証を取得している企業の一例としてGMOインターネット株式会社やヤフー株式会社などが挙げられます。

ただし、テレワークを導入している、もしくは導入を予定している企業がISMS認証の取得を考える場合、テレワークを導入していない企業と比較して、注意すべき点はいくつかあります。
理由としては、下記のようにオフィスとテレワークでは情報の扱いや環境が異なるためです。

テレワークにおける情報管理の問題点

  • 作業場所が自宅やコワーキングスペースになるため、情報が社外の人間の目に入る可能性が高い
  • 社内で指定している方法で書類が処分できない可能性がある(シュレッダーなど)
  • 端末の盗難・紛失リスクが高い
  • ネットワークが暗号化されていない場合がある

上記の問題さえクリアできればISMS認証も通常の方法で取得できると考えてよいでしょう。

逆にいうと、ISMS認証の取得を予定しておらず、上記の対策を特に考慮していない状態でテレワークを実施した場合、第三者にネットワークを通じて顧客情報を盗まれてしまう、画面を覗き込まれて社外秘を知られてしまうというリスクが考えられます。

ISMS認証の取得に向けてセキュリティ対策を徹底することで、そういったトラブルの心配なく、安心・安全なテレワークを行えるという大きなメリットがあります。

テレワークを行っている企業がISMS取得においてまず行うべきことは?

では、どういった点に気を付ければ、テレワークを導入している企業でもISMS認証を取得することができるのでしょうか?

まずは全従業員に対しセキュリティに関する教育を行うことが必要です。
そして、既にテレワークを導入している場合は情報セキュリティの観点で考えられる現状におけるテレワークの問題点を考え、体制を見直しましょう。
これからテレワークの導入を考えているという場合は、本記事を参考に考えられるリスクをピックアップしていくことで対策方法を洗い出すことができます。

ポイント①全従業員に情報セキュリティ教育を行う

ISMS取得するためには、まず全従業員に対して情報セキュリティに関する教育を行う必要があります。

一部だけではなく、従業員全員というところがポイントです。
もし情報セキュリティに関する教育を受けていない従業員が1人でもいると、その従業員が他の従業員の目の届かないところでテレワークをしているときに、意図せず情報を漏洩させてしまうリスクがあるからです。

必ず全従業員に、情報セキュリティに関する教育を通して以下のようなリテラシーを身に着けてもらいましょう。

情報セキュリティに関するリテラシーの例

  • 情報セキュリティ全般に関する基礎知識
  • 情報漏洩が起こるとどうなるかを知る
  • 社内での情報セキュリティに関する取り組みについて把握する

など…

情報セキュリティに関するリテラシーの習得基準は、各企業である程度自由に決められます。

「どういった基準で習得基準や教育内容を決めたらいいか分からない」
「しっかりと知識のあるプロに教育を行ってもらいたい」

このような場合は、認証取得をサポートしてくれるコンサルタントを利用しましょう。
お問い合わせはこちらお問い合わせはこちら

ポイント②テレワークのリスクとトラブル発生時の対応体制を見直す

前述した通り、セキュリティ対策が行き届いている社内よりも、自宅やカフェなどで仕事をするテレワークの方が情報漏洩のリスクは高いといえます。
そのため、テレワーク導入済みの企業がISMSを取得するためには、テレワークのリスクとトラブル発生時の対応体制の見直しをしておく必要があります。

まず考えられるのは、物理的な盗難、紛失による情報漏洩のリスクです。
ほかには、社用ではないWi-Fiにつながったときに、情報が漏れてしまうリスクもあります。

こういったテレワークにおいて考えられるリスクを一つひとつ洗い出し、
「未然に防ぐためにはどのような対策が必要か」
「もしトラブルが起きてしまったらどう対処するのか」
までをしっかりと考え、社内教育の場で共有しておきましょう。

ISMS取得のために行うべき、テレワークにおける4つのセキュリティ対策

テレワークに必要なセキュリティ対策

テレワークに必要なセキュリティ対策とは?

ISMS認証取得の場合、ISO27001に基づく情報管理に関するマニュアルを作成する必要がありますが、これとは別にテレワーク用のマニュアルを作成することをおすすめします。
社内でセキュリティ対策を含めたテレワーク環境を構築し、そのうえでマニュアルを共有することで、情報漏洩の心配なくテレワークを実施でき、ISMS認証の取得も可能となるでしょう。

ここからは、テレワーク用マニュアルに盛り込みたい内容、および行うべきセキュリティ対策について具体的に解説していきます。

セキュリティ対策①ネットワーク環境の指定

「テレワークの場合、画面の情報さえ第三者に見られなければ何の問題もないのでは?」
このように考えてしまうかもしれませんが、ISMSの取得を考えているのであれば、社外における通信上のセキュリティは第一に対策をすべき点です。

たとえば、コワーキングスペースやカフェの無料Wi-Fiは暗号化されていない場合がほとんど。
また、自宅のWi-Fiであっても、WEPという暗号化方式の場合は簡単に通信情報が解読されてしまうため、情報漏洩につながりやすいというリスクがあります。

テレワークにおける通信セキュリティ対策の方法は、「WPA以上の暗号化通信を使用したWi-Fi接続」および「VPNを用いた社内LANへのアクセス」が有効です。

WPAとは

WPA(Wi-Fi Protected Access)とは、無線LANの通信を暗号化する方法です。
従来一般的に使われていた「WEP」は暗号化は行うものの、単純な仕組みであるため解読されやすいという脆弱性がありました。

WPAは、情報にアクセスするための「暗号鍵」を一定時間ごとに変更するシステムで、WEPよりも複雑かつ強固なセキュリティをもちます。
また、WPAのセキュリティをさらに強化したWPA2という通信方式も。

テレワークにおいて業務に関する情報を扱う際は、自宅のWi-FiをWPAおよびWPA2に設定するよう徹底させるか、あらかじめWPAに設定したポケットWi-Fiを従業員に貸与するようにしましょう。

VPNとは

普段、機密情報などは社内サーバーに保存しており、社内でLANに接続しなければ閲覧できないという仕組みを作っているオフィスは多くあります。

しかしテレワークとなると、自宅で業務を行うため社内サーバーのデータを閲覧することができません。
「テレワーク期間のみ、社内サーバーのデータをPCにダウンロードすればよいのではないか?」
とお考えの方もいらっしゃるかもしれませんが、それでは万が一の際に機密情報が漏えいしてしまうというリスクがあり、今まで社内サーバーで厳重に扱っていた意味がなくなってしまいます。

そこで有効なのがVPNです。
VPN (Virtual Private Network)とは、離れている場所同士のネットワークを繋ぐための通信システムです。

VPNを導入することで、自宅にいながら業務用PCを通じて社内LANにアクセスすることが可能です。
テレワークだけでなく、構築方法によっては、たとえば東京本社にいながら北海道支社のデータにアクセスするということも可能。
もちろん通信を暗号化する仕組みも備わっているため、機密情報が第三者に盗み見されるといった心配もありません。

「VPN装置」をいうものを社内に設置し、対応するVPNソフトを業務用PCにインストールすることでテレワーク用にVPNを導入できます。

お問い合わせはこちらお問い合わせはこちら

セキュリティ対策②物理的な対策

いくら情報セキュリティ対策を徹底しても、端末本体を紛失・盗難し第三者に操作されてしまっては対策も意味がありません。
また、カフェの場合は他の利用客に、自宅の場合は家族に画面を見られて情報を知られてしまうという可能性も。
そのため、テレワーク実施環境でISMSを取得するには「物理的なセキュリティ対策」ももちろん大切です。

物理的なセキュリティ対策は、事業者側である程度設備などを与えて環境を整えられるものと、従業員個々人の良識にある程度委ねることになる部分があります。
下記に、実際に行えるセキュリティ対策の一例を紹介します。

物理的なセキュリティ対策の一例

  • 画面のぞき見防止フィルターを全社員に配布する
  • カフェやコワーキングスペースなど、不特定多数の人間が使用する場所での業務を禁止する(家庭の事情などでどうしても必要な場合は別途条件を設け、申請を行った者のみ可能とする)
  • 同居の家族などに画面を見せないよう配慮する
  • 付箋にパスワードなどを書いて端末に貼ることを禁止する
  • 指紋認証などの生体認証つきの端末を導入する
  • 推測されにくいランダムなパスワードを会社で指定する

など…

セキュリティ対策③バックアップ方法を統一する

「業務中に突然PCがエラーを起こしてしまった」
「データが消えてしまった」

このようなトラブルがあった際も、出社していれば社内の情報システム担当などに相談すれば解決できる可能性はあります。
テレワーク中ではそのような相談もなかなか難しいため、こまめにデータのバックアップをとっておくことが望まれます。

しかし、
「Aさんは自分でアカウントを取得したクラウドサービスを使っている」
「Bさんはプライベート用のPCにバックアップを保存している」
「Cさんはそもそもバックアップを行っていない」
……といったように、社内でバックアップ方法が統一されていなければ、それぞれ情報流出の危険性の高さも異なるため、かえって危険なことも。
当然、ISMSの取得は難しくなってしまいます。

そのため、たとえば暗号化を行ったポータブルHDDを会社から貸与し、定期的なバックアップを義務づける、といったように、バックアップにおいてもある程度のルールを整えておくことが望ましいです。

セキュリティ対策④紙媒体の取り扱い

情報セキュリティ対策において、見落としがちなのが契約書や資料といった紙媒体の取り扱いです。

一般的に、社内であれば破棄する文書はシュレッダーをかける、もしくは機密文書溶解処理サービスを利用するという方法があります。
しかしテレワークの場合、そもそも自宅にシュレッダーがないという方がほとんど。

そういった場合に、
「シュレッダーがないのは仕方ないので、各自で処分すること」
としてしまうのは危険です。
十分に情報を隠していないものを自宅のゴミ箱に入れ、家族に見られてしまうという可能性や、ゴミをまとめて捨てた後に何者かに中身を見られてしまうことも考えられるためです。

ISMSの取得を目指すのであれば、
「シュレッダーがないのなら、どのような方法であれば文書を適切に保管・破棄できるのか?」
という観点で考えてみましょう。

たとえば、文書は自分で破棄せず、個人情報を隠すスタンプを押した上で保管し、出社時にシュレッダーをかける、もしくは担当部署へ手渡しするという方法が考えられます。

お問い合わせはこちらお問い合わせはこちら

テレワーク導入済み企業がISMS認証取得するためには、テレワークにおけるセキュリティ対策の見直しが必要

今回は、テレワークを認めている、もしくは導入予定である企業がISMS認証を取得するためのポイントをご紹介してきました。

テレワークを導入したからといってISMS認証を取得できないわけではありません。
しかし、テレワークには情報漏洩のリスクがあるのは事実です。
テレワークを行っている企業がISMS認証を取得するには、従業員全員に情報セキュリティ教育を行い、リスクとトラブル発生時の対応体制の見直しを行う必要があります。
企業ごとに見直しを行う細かいポイントは異なるので、より確実にISMS取得を取得するためには、コンサルタント会社に依頼をしてサポートをしてもらうことをおすすめします。

「テレワークのセキュリティ対策を確実なものにするためにもISMS認証を取得したい」
「ISMS認証の取得にはどれくらい費用がかかるのか知りたい」
と思われた事業者様はぜひEMEAO!をご利用ください。
コンシェルジュにご相談いただければ、費用感に関するアドバイスからISMS認証取得サポートを得意とする優良なコンサルティング会社のご紹介まで、完全無料でお手伝いいたします!

業者選びに迷ったらエミーオ! 業者選びに迷ったらエミーオ!

ぴったりの業者を
無料で紹介します

ご相談はこちら ご相談はこちら お電話はこちら お電話はこちら
332df568e0b62f4b6d82a1e704c22f0a 300x300 - テレワーク導入企業のISMS認証取得は可能?4つの対策方法を紹介

この記事を書いた人

編集部員 岡本

編集部の岡本です。以前はWEBディレクターとして中小企業のホームページ制作のディレクション等をしておりました。ユーザー様の声をきちんとコンテンツの内容や方向性に反映して、より良いメディアに出来るように日々精進してまいります。

1d88413e690f742dbdc9d4247d100d66 - テレワーク導入企業のISMS認証取得は可能?4つの対策方法を紹介
この記事が気に入ったら いいね!!しよう!
Pマーク・ISO取得の関連記事

EMEAO!業者選定ガイドとは

業者,選定

いろいろな業種の「発注のお悩み」を解決するウェブマガジンです

このサイトは、専門業者紹介サービス、エミーオ!が運営しています。エミーオ!は、発注したい仕事の詳細をお伺いし、それに応えられる業者を紹介する完全人力サービス。
自動化された見積もり比較サイトとの違いは、お客様の問題解決に注力していること。専門性の高いスタッフが案件を理解した上で業者を選定しています。
このウェブマガジンは、エミーオ!を通して得た、さまざまな業種のお悩みや旬の話題をお届けしています。

ポイント

業者選びのコツがわかるから失敗を防げる

ポイント

関係あるビジネスの
トレンドがわかる

ポイント

今さら聞けない業界知識がよくわかる

お客様のご利用エピソード

業者選びの手間がはぶけて、オフィスの移転準備がはかどりました!【...
ビジネスホン

業者選びの手間がはぶけて、オフィスの移転準備がはかどりました!【お客様の声|ビジネスホン】

お客様の声
業者を乗り換えて反響率が1%未満から2.8%にアップしました!【...
ポスティング

業者を乗り換えて反響率が1%未満から2.8%にアップしました!【お客様の声|ポスティング】

お客様の声
台数や機種についてアドバイスをもらい、最適な条件で発注できました...
防犯カメラ

台数や機種についてアドバイスをもらい、最適な条件で発注できました【お客様の声|防犯カメラ】

お客様の声
細かい条件で業者を絞り込めるので、簡単に最適な1社が選べました!...
清掃業者

細かい条件で業者を絞り込めるので、簡単に最適な1社が選べました!【お客様の声|清掃業者】

お客様の声
難しい条件にも関わらず、翌日には複数業者を紹介してもらえました!...
翻訳会社

難しい条件にも関わらず、翌日には複数業者を紹介してもらえました!【お客様の声|翻訳会社】

お客様の声
前の外注先とは比べられないほど正確な翻訳会社に出会えました!【お...
翻訳会社

前の外注先とは比べられないほど正確な翻訳会社に出会えました!【お客様の声|翻訳会社】

お客様の声
コンシェルジュを通して業者と相談し300万円以内でのアプリ開発が...
アプリ開発

コンシェルジュを通して業者と相談し300万円以内でのアプリ開発が実現【お客様の声|アプリ開発】

お客様の声
長期的にお付き合いしたい、親切な業者を紹介してもらいました!【お...
決済代行

長期的にお付き合いしたい、親切な業者を紹介してもらいました!【お客様の声|決済代行】

お客様の声
相見積りをとってランニングコストを30%も削減できました!【お客...
複合機

相見積りをとってランニングコストを30%も削減できました!【お客様の声|複合機】

お客様の声
業者選びがスムーズに進み、余裕で納期に間に合いました!【お客様の...
ビジネスホン

業者選びがスムーズに進み、余裕で納期に間に合いました!【お客様の声|ビジネスホン】

お客様の声
もっと見る→

条件・要望にぴったりな業者がみつかる

専門業者ご紹介サイト

業者選びに迷ったらエミーオ! サービスの詳細はこちら
0 登録不要
完全無料
楽々 コンシェルジュ
に相談するだけ
安心 評判の良い
業者をご紹介
迅速 お急ぎ案件も
お任せ!
ご要望を
お聞かせ
ください

条件・要望に沿える業者のみを厳選してご紹介します。簡単5分のご相談で満足いく業者がきっと見つかります。

サービスの詳細はこちら お電話はこちらから メールでのお問い合わせはこちらから