テレワーク導入企業がISMSを取得で意識する6のポイント
公開日:2020.02.27 最終更新日:2021.08.10
テレワークを取り入れる企業も増えている昨今。
しかし、社内とは異なり、情報管理がしっかりと行われているのか? という点は不透明です。
そのため、テレワークを導入していてもISMS(ISO27001)認証を取得できるのか不安に感じてしまいますよね。
そこで、今回はテレワーク導入企業がISMS認証を取得する際の注意点を解説します。
情報セキュリティ管理に力を入れたい事業者様は、ぜひご一読ください。
おさらい:ISMS(ISO27001)認証とは
情報セキュリティの管理体制を証明するのがISMS
ご存じの事業者様ばかりでしょうが、ここで簡単にISMS認証についておさらいします。
ISMS認証とは、情報を適切に取り扱うためのマネジメントシステムの規格(ISO27001)を満たしている企業に付与される認証です。
社内外におけるセキュリティ対策を行っていることの証明となり、社内のコンプライアンス意識の向上や、取引先企業からの信用を得やすいといったメリットがあります。
ISMS(ISO27001)について、詳しくはこちらの記事で解説しています。
テレワークを導入していてもISMS認証は取得できるの?
結論から申しますと、テレワークを実施している企業であっても、情報セキュリティマネジメント認証であるISMS(ISO27001)の取得は可能です。
実際に、テレワークを導入していて、尚且つISMS認証を取得している企業の一例としてGMOインターネット株式会社やヤフー株式会社などが挙げられます。
ただし、テレワークを導入している、もしくは導入を予定している企業がISMS認証の取得を考える場合、テレワークを導入していない企業と比較して、注意すべき点はいくつかあります。
理由としては、下記のようにオフィスとテレワークでは情報の扱いや環境が異なるためです。
- 作業場所が自宅やコワーキングスペースになるため、情報が社外の人間の目に入る可能性が高い
- 社内で指定している方法で書類が処分できない可能性がある(シュレッダーなど)
- 端末の盗難・紛失リスクが高い
- ネットワークが暗号化されていない場合がある
上記の問題さえクリアできればISMS認証も通常の方法で取得できると考えてよいでしょう。
逆にいうと、ISMS認証の取得を予定しておらず、上記の対策を特に考慮していない状態でテレワークを実施した場合、第三者にネットワークを通じて顧客情報を盗まれてしまう、画面を覗き込まれて社外秘を知られてしまうというリスクが考えられます。
ISMS認証の取得に向けてセキュリティ対策を徹底することで、そういったトラブルの心配なく、安心・安全なテレワークを行えるという大きなメリットがあります。
テレワークを行っている企業がISMS取得においてまず行うべきことは?
では、どういった点に気を付ければ、テレワークを導入している企業でもISMS認証を取得することができるのでしょうか?
まずは全従業員に対しセキュリティに関する教育を行うことが必要です。
そして、既にテレワークを導入している場合は情報セキュリティの観点で考えられる現状におけるテレワークの問題点を考え、体制を見直しましょう。
これからテレワークの導入を考えているという場合は、本記事を参考に考えられるリスクをピックアップしていくことで対策方法を洗い出すことができます。
ポイント①全従業員に情報セキュリティ教育を行う
ISMS取得するためには、まず全従業員に対して情報セキュリティに関する教育を行う必要があります。
一部だけではなく、従業員全員というところがポイントです。
もし情報セキュリティに関する教育を受けていない従業員が1人でもいると、その従業員が他の従業員の目の届かないところでテレワークをしているときに、意図せず情報を漏洩させてしまうリスクがあるからです。
必ず全従業員に、情報セキュリティに関する教育を通して以下のようなリテラシーを身に着けてもらいましょう。
- 情報セキュリティ全般に関する基礎知識
- 情報漏洩が起こるとどうなるかを知る
- 社内での情報セキュリティに関する取り組みについて把握する
など…
情報セキュリティに関するリテラシーの習得基準は、各企業である程度自由に決められます。
「どういった基準で習得基準や教育内容を決めたらいいか分からない」
「しっかりと知識のあるプロに教育を行ってもらいたい」
このような場合は、認証取得をサポートしてくれるコンサルタントを利用しましょう。
ポイント②テレワークのリスクとトラブル発生時の対応体制を見直す
前述した通り、セキュリティ対策が行き届いている社内よりも、自宅やカフェなどで仕事をするテレワークの方が情報漏洩のリスクは高いといえます。
そのため、テレワーク導入済みの企業がISMSを取得するためには、テレワークのリスクとトラブル発生時の対応体制の見直しをしておく必要があります。
まず考えられるのは、物理的な盗難、紛失による情報漏洩のリスクです。
ほかには、社用ではないWi-Fiにつながったときに、情報が漏れてしまうリスクもあります。
こういったテレワークにおいて考えられるリスクを一つひとつ洗い出し、
「未然に防ぐためにはどのような対策が必要か」
「もしトラブルが起きてしまったらどう対処するのか」
までをしっかりと考え、社内教育の場で共有しておきましょう。
ISMS取得のために行うべき、テレワークにおける4つのセキュリティ対策
テレワークに必要なセキュリティ対策とは?
ISMS認証取得の場合、ISO27001に基づく情報管理に関するマニュアルを作成する必要がありますが、これとは別にテレワーク用のマニュアルを作成することをおすすめします。
社内でセキュリティ対策を含めたテレワーク環境を構築し、そのうえでマニュアルを共有することで、情報漏洩の心配なくテレワークを実施でき、ISMS認証の取得も可能となるでしょう。
ここからは、テレワーク用マニュアルに盛り込みたい内容、および行うべきセキュリティ対策について具体的に解説していきます。
セキュリティ対策①ネットワーク環境の指定
「テレワークの場合、画面の情報さえ第三者に見られなければ何の問題もないのでは?」
このように考えてしまうかもしれませんが、ISMSの取得を考えているのであれば、社外における通信上のセキュリティは第一に対策をすべき点です。
たとえば、コワーキングスペースやカフェの無料Wi-Fiは暗号化されていない場合がほとんど。
また、自宅のWi-Fiであっても、WEPという暗号化方式の場合は簡単に通信情報が解読されてしまうため、情報漏洩につながりやすいというリスクがあります。
テレワークにおける通信セキュリティ対策の方法は、「WPA以上の暗号化通信を使用したWi-Fi接続」および「VPNを用いた社内LANへのアクセス」が有効です。
WPAとは
WPA(Wi-Fi Protected Access)とは、無線LANの通信を暗号化する方法です。
従来一般的に使われていた「WEP」は暗号化は行うものの、単純な仕組みであるため解読されやすいという脆弱性がありました。
WPAは、情報にアクセスするための「暗号鍵」を一定時間ごとに変更するシステムで、WEPよりも複雑かつ強固なセキュリティをもちます。
また、WPAのセキュリティをさらに強化したWPA2という通信方式も。
テレワークにおいて業務に関する情報を扱う際は、自宅のWi-FiをWPAおよびWPA2に設定するよう徹底させるか、あらかじめWPAに設定したポケットWi-Fiを従業員に貸与するようにしましょう。
VPNとは
普段、機密情報などは社内サーバーに保存しており、社内でLANに接続しなければ閲覧できないという仕組みを作っているオフィスは多くあります。
しかしテレワークとなると、自宅で業務を行うため社内サーバーのデータを閲覧することができません。
「テレワーク期間のみ、社内サーバーのデータをPCにダウンロードすればよいのではないか?」
とお考えの方もいらっしゃるかもしれませんが、それでは万が一の際に機密情報が漏えいしてしまうというリスクがあり、今まで社内サーバーで厳重に扱っていた意味がなくなってしまいます。
そこで有効なのがVPNです。
VPN (Virtual Private Network)とは、離れている場所同士のネットワークを繋ぐための通信システムです。
VPNを導入することで、自宅にいながら業務用PCを通じて社内LANにアクセスすることが可能です。
テレワークだけでなく、構築方法によっては、たとえば東京本社にいながら北海道支社のデータにアクセスするということも可能。
もちろん通信を暗号化する仕組みも備わっているため、機密情報が第三者に盗み見されるといった心配もありません。
「VPN装置」をいうものを社内に設置し、対応するVPNソフトを業務用PCにインストールすることでテレワーク用にVPNを導入できます。
セキュリティ対策②物理的な対策
いくら情報セキュリティ対策を徹底しても、端末本体を紛失・盗難し第三者に操作されてしまっては対策も意味がありません。
また、カフェの場合は他の利用客に、自宅の場合は家族に画面を見られて情報を知られてしまうという可能性も。
そのため、テレワーク実施環境でISMSを取得するには「物理的なセキュリティ対策」ももちろん大切です。
物理的なセキュリティ対策は、事業者側である程度設備などを与えて環境を整えられるものと、従業員個々人の良識にある程度委ねることになる部分があります。
下記に、実際に行えるセキュリティ対策の一例を紹介します。
- 画面のぞき見防止フィルターを全社員に配布する
- カフェやコワーキングスペースなど、不特定多数の人間が使用する場所での業務を禁止する(家庭の事情などでどうしても必要な場合は別途条件を設け、申請を行った者のみ可能とする)
- 同居の家族などに画面を見せないよう配慮する
- 付箋にパスワードなどを書いて端末に貼ることを禁止する
- 指紋認証などの生体認証つきの端末を導入する
- 推測されにくいランダムなパスワードを会社で指定する
など…
セキュリティ対策③バックアップ方法を統一する
「業務中に突然PCがエラーを起こしてしまった」
「データが消えてしまった」
このようなトラブルがあった際も、出社していれば社内の情報システム担当などに相談すれば解決できる可能性はあります。
テレワーク中ではそのような相談もなかなか難しいため、こまめにデータのバックアップをとっておくことが望まれます。
しかし、
「Aさんは自分でアカウントを取得したクラウドサービスを使っている」
「Bさんはプライベート用のPCにバックアップを保存している」
「Cさんはそもそもバックアップを行っていない」
……といったように、社内でバックアップ方法が統一されていなければ、それぞれ情報流出の危険性の高さも異なるため、かえって危険なことも。
当然、ISMSの取得は難しくなってしまいます。
そのため、たとえば暗号化を行ったポータブルHDDを会社から貸与し、定期的なバックアップを義務づける、といったように、バックアップにおいてもある程度のルールを整えておくことが望ましいです。
セキュリティ対策④紙媒体の取り扱い
情報セキュリティ対策において、見落としがちなのが契約書や資料といった紙媒体の取り扱いです。
一般的に、社内であれば破棄する文書はシュレッダーをかける、もしくは機密文書溶解処理サービスを利用するという方法があります。
しかしテレワークの場合、そもそも自宅にシュレッダーがないという方がほとんど。
そういった場合に、
「シュレッダーがないのは仕方ないので、各自で処分すること」
としてしまうのは危険です。
十分に情報を隠していないものを自宅のゴミ箱に入れ、家族に見られてしまうという可能性や、ゴミをまとめて捨てた後に何者かに中身を見られてしまうことも考えられるためです。
ISMSの取得を目指すのであれば、
「シュレッダーがないのなら、どのような方法であれば文書を適切に保管・破棄できるのか?」
という観点で考えてみましょう。
たとえば、文書は自分で破棄せず、個人情報を隠すスタンプを押した上で保管し、出社時にシュレッダーをかける、もしくは担当部署へ手渡しするという方法が考えられます。
テレワーク導入済み企業がISMS認証取得するためには、テレワークにおけるセキュリティ対策の見直しが必要
今回は、テレワークを認めている、もしくは導入予定である企業がISMS認証を取得するためのポイントをご紹介してきました。
テレワークを導入したからといってISMS認証を取得できないわけではありません。
しかし、テレワークには情報漏洩のリスクがあるのは事実です。
テレワークを行っている企業がISMS認証を取得するには、従業員全員に情報セキュリティ教育を行い、リスクとトラブル発生時の対応体制の見直しを行う必要があります。
企業ごとに見直しを行う細かいポイントは異なるので、より確実にISMS取得を取得するためには、コンサルタント会社に依頼をしてサポートをしてもらうことをおすすめします。
「テレワークのセキュリティ対策を確実なものにするためにもISMS認証を取得したい」
「ISMS認証の取得にはどれくらい費用がかかるのか知りたい」
と思われた事業者様はぜひEMEAO!をご利用ください。
コンシェルジュにご相談いただければ、費用感に関するアドバイスからISMS認証取得サポートを得意とする優良なコンサルティング会社のご紹介まで、完全無料でお手伝いいたします!
ぴったりの業者を
無料で紹介します
この記事を書いた人
編集部員 岡本
編集部の岡本です。以前はWEBディレクターとして中小企業のホームページ制作のディレクション等をしておりました。ユーザー様の声をきちんとコンテンツの内容や方向性に反映して、より良いメディアに出来るように日々精進してまいります。
用語集&基礎知識 
用語集&基礎知識 
用語集&基礎知識 
用語集&基礎知識 
用語集&基礎知識 
