ルール整備や確認作業が不十分

テレワークは新型コロナウイルスの感染拡大防止のために、多くの企業が導入し、新しい勤務形態として定着しつつある。独立行政法人情報処理推進機構（IPA）は、急速なICT環境の変化がセキュリティ対策などにどのような影響を与えているかを2020年度に調査（20年度調査）したが、その後の1年間の変化を確認するため、「企業・組織におけるテレワークのセキュリティ実態調査」（21年度調査）を実施し、6月に報告書を公開した。その結果、事業継続を優先するために、セキュリティ対策が緩和されたり、ルール整備や確認作業が不十分なままになっており、ガバナンスの低下が懸念される状況が確認された。調査結果のポイントは次のとおり。

■コロナ禍でのセキュリティ対策の特例や例外が増加・長期化

機密情報を含む会社支給PCの持ち出しについて、特例や例外で一時的に認めた組織は33･5%であり、20年度調査（26･9%）よりも増えている。電子記憶媒体による機密情報の持ち出しについても同様に増えている。コロナ禍の制限された環境下において事業を継続するため、特例や例外により条件の緩和や手続きを簡略にすることはやむを得ない状況であったかもしれない。しかし、特例や例外でセキュリティ対策は脆弱(ぜいじゃく)になるため、その状態が常態化してしまうことは、リスクを増大させることになる。利用禁止に戻す、あるいは別の対策の追加やルール化して利用を許可するなどの対策の実施が必要である。

■3割以上の組織がテレワークに関する社内規定・規則・手順の順守状態の確認を実施していない

テレワークに関する社内規定・規則・手順の順守状態の確認について、順守状況を確認している組織は64･5%であり、20年度調査（45･4%）よりも改善している。しかし、3割以上の組織が「確認していない」と回答している。規定や手順が取り決められていても、順守状況を確認できていないことにより、内部不正の機会の増加や、気付かないうちに規定に違反していることが原因でセキュリティインシデントが発生するなどの恐れがある。21年度調査では、さらに確認方法について質問をした。その結果、確認していると回答した組織の6割以上がセルフチェックを行っていた。

■委託元ではテレワークを考慮した業務委託契約が進んでいない

業務委託契約における情報セキュリティ上の要求事項の取り決めについて、委託元は取り決めた割合が10･2～21･2%であるのに対し、委託先（ITベンダ）は41･7～57･8%と大きな差がある（図参照）。21年度調査では委託先のテレワークの導入率は97%と非常に高く、実施割合は全社員の50～80%未満、実施頻度は週3～4回が最も多い回答であった。

このように委託先ではテレワークで業務を行う可能性が高く、再委託先に対してもテレワーク時のセキュリティ対策について意識されている。委託元も業務委託する際は、テレワークで実施されてもよい業務なのか、情報の安全は確保されるのかといったことを確認・検討し、取り決めをすることが大切である。

本調査報告書についてはIPAのウェブサイトに掲載している。自社の取り組みの参考にしてほしい。

（独立行政法人情報処理推進機構・江島将和）

「2021年度調査」はこちら ▶ https://www.ipa.go.jp/security/fy2021/reports/scrm/index-telework.html