リモートワークの普及により、企業が抱えるリスクの種類も変化しています。そんな現代、「デジタルリスク」と呼ばれるリスクが、企業の抱える大きな問題となりました。これは、セキュリティリスクだけにとどまらない、広い問題です。本記事では、企業の新しい問題であるデジタルリスクに焦点を絞り、その概要や課題、おすすめの対策ツールなどについて解説します。
リスクトレンドは変化している
デジタルの進歩するスピードは凄まじく、従来では考えられなかったようなシステムが続々と誕生しています。特に「クラウドの普及」「機密情報のデジタル化」「テレワークの浸透」といった新しい状況に対して、業務システムが変わってきている企業も多いことでしょう。
しかし、こうしたデジタル化の波により、企業にとっての脅威も年々増えてきています。例えば2020年11月、某大手ゲーム会社がサイバー攻撃の被害に遭い、顧客情報などを流出した件は今も記憶に新しいでしょう。このような問題に対して新しい対策を立てても、すぐに新しい脅威が生まれてくるため、企業はリスクマネジメントを柔軟に変化させていかなければなりません。
特にここ最近では、「デジタルリスク」と呼ばれる新しい種類のリスクが、大きな問題となっています。企業ブランドの信用を落としてしまうケースも多く、喫緊の改善課題とされています。
デジタルリスクの例
デジタルリスクとは、その名前のとおり企業がデジタルシステムを導入したことにより、新しく発生したリスクのことです。デジタルリスクでは、「企業問題に関わるSNSへの不適切な投稿」「機密情報の漏えい」「データ改ざん」「シャドーIT」「テレワークによる超過労働や認知外の行動」といった問題が挙げられます。
特に、SNSの不適切な投稿などによるネットの炎上は、国内外問わず頻繁に起こっているデジタルリスクのひとつです。「人種」「男女」「国」を扱ったCMやSNSの投稿で炎上してしまうのは、よくある事例と言えるでしょう。
また、従業員の手によって企業情報が漏えいするケースもあります。実際2011年には、某ホテルの従業員がTwitterで「芸能人の○○が宿泊しているのを見た」という情報を流し、さらには部屋を覗いたり、宿泊後のベッドに寝てみたりといったツイートを次々に投稿したことで問題となりました。これによりホテルは炎上し、当の従業員も個人情報を特定されるなどの大事に発展してしまったのです。
このように、ネット炎上は企業のブランドイメージを損なうだけでなく、大きな顧客離れやさらなるトラブルを招く恐れがあるため、注意が必要です。
デジタルリスクの課題
企業はデジタルリスクに対して、どのような対策を取ったらよいのでしょうか。ここでは、その課題と対応方法について解説していきます。
業務実態の可視化
テレワークによるデジタルリスクで大きな問題となっているのが「超過労働」です。オフィスなどで業務を行っているときは、従業員がそばにいるため勤務実態を把握できました。
しかしテレワークでは、従業員が遠隔地にいるため、どのように業務を行っているかわからないという問題があります。時間の管理や工数の配分もしづらく、気づかないうちに長時間労働やサービス残業が起こってしまうのです。このような問題を避けるためには、従業員の業務を可視化しなければいけません。
可視化というと、常時監視するかのようなイメージがありますが、実際の対策としては「定期的な報告の義務化」「ZOOMなどを使用したオンライン会議」「バーチャルオフィス」「管理ツールの導入」などの方法があります。
例えば、進捗確認のための定時報告を義務化すれば、業務状況が見えやすく、従業員の生産性向上にもつながります。さらにオンライン会議を定期的に行えば、実際にコミュニケーションを取れるので、進捗や工程の確認もしやすいでしょう。また最近では、バーチャルオフィスや業務管理を行うツールが注目されています。テレワークによる問題解消に向けて、効果的に活用できます。
実態に沿ったセキュリティポリシーの整備
従業員が絡むデジタルリスクには、「機密情報の入った端末の紛失や盗難」・「顧客や従業員の情報を含む業務情報の漏えい」・「SNSでの炎上」などが挙げられます。
これらの問題は、従業員の不注意や認識の甘さ、あるいは誰かしらの悪意などによって引き起こされます。万一、企業に損害が生じた場合、たとえ従業員に悪気はなくても賠償責任が発生してしまうこともあるのです。そのため、企業はセキュリティポリシーを定めて周知する必要があります。
セキュリティポリシーでは「問題となる行動」「どのようにしてインシデントが起こるか」「問題が起きた場合の損害」などをまとめ、問題が起きないようにルール化します。このとき、全体の構成を「基本方針」、実際に実施や規定をするための手順を「対策基準」、対策基準を行動に移す方法を「実施内容」としてそれぞれ設計します。
設計内容は企業の業務によって異なりますが、PCDAサイクルにより、常に新しいデジタルリスクに備えることが必要です。例えば、最近のデジタルリスクに対応する方法としては、以下のようなものが挙げられます。
- 業務用の端末を外に持ち出さない
- 端末に鍵をかける
- 業務に関わるツイートをしない
- 業務に外部サービスを利用しない
- 使用するPCのマルウェア対策
- 重要情報を他言しない
従業員のモチベーション把握
テレワークによって、気づかないうちに超過労働やサービス残業が発生していた場合、従業員には大きな負担がかかります。業務によるストレスが大きすぎると、「モチベーションの低下による生産性の低下」「離職リスク」「不就労」「訴訟」「病気」など、さまざまな問題に発展する恐れがあります。
そのため、従業員に無理な労働をさせていないか、負荷をかけすぎていないかなどは、定期的に把握しなければいけません。テレワーク下では実際に業務を行っているところを確認できないため、定期的な報告や工数・進捗の管理、ZOOMなどによるコミュニケーションの活性化といった対策が重要です。
エルテスのWebポータルでデジタルリスクを排除
株式会社エルテスが提供するWebポータルでは、従業員によるデジタルリスクに関わる不審な動作を常に監視します。監視対象の例としては、退職する可能性のある社員が社内データをUSBメモリーに大量コピーしたり、プライベートメールに業務ファイルを添付して送受信したりといった、デジタルリスクにつながりそうなインシデントです。このようなポリシー違反を、Webポータルで提供する「リスクサマリ」「個別検知」「全体傾向」「アラート」「ケース管理」の5つの機能によって分析します。
もし、従業員のデジタルリスク違反を詳細に確認したいときは、リスクサマリと個別検知が有効です。リスクサマリでは「会社全体のリスクの数値・リスクの傾向・リスクを行ったユーザー」を、個別検知では「リスクとなったユーザーの行動・リスクスコア」などを確認できます。さらに、全体傾向による「過去半年の調査結果」や、アラートの「緊急通知規準に該当する検知結果の推移」によって、デジタルリスクの脆弱性やアラートに該当するユーザーを絞り出します。
実際にユーザーへの対応をする場合は、ケース管理にて「対応するケースの作成」や「対応状況のやり取りを時系列で表示」することで、詳細な管理が可能です。このように、5つの機能を組み合わせて活用すれば、社内のデジタルリスクに対して柔軟なリスクヘッジが行えるのです。
まとめ
デジタルリスクは常に変化し続けるため、セキュリティポリシーの対応が難しくなっています。そのため、柔軟な変化に対応できるツールの使用が、企業にとって最も簡単な解決策と言えるでしょう。
エルテスのWebポータルのように、変化するリスクを常に監視できるツールを活用し、さまざまな脅威に対してフレキシブルに対応しましょう。
