【全3回 連載企画】情報システム部門担当者「あるある!」座談会 第1回 「持ち出す、無くす、壊す」ユーザーをどうするか?

新年度が始まる4月は、情報システム部門担当者にとっては受難の時期。というのも、PCやタブレットなど、デバイスがらみの問題が社内のあちこちで同時多発するからだ。異動のタイミングで行方不明が発覚するPCやスマホ、「どう使うとそんなことになるの?」という故障や破損。さらに年間を通じたトラブルメーカーの存在といった問題に、担当者はどう立ち向かったらよいのだろうか?

そこで今回は、さまざまな業種から現役の情報システム部門の担当者4名に集まっていただき、ホンネのトークを聞かせてもらった。

<参加者プロフィール>

 member_square01.png

山田 太郎:ソフトウェアベンダーで情報システムを担当。もともと営業出身で、その後総務に配属され情報システムも兼務するうち、いつの間にか現在のプロパーに。

 member_square02.png

高橋 一雄:購買・調達支援サービスを提供する企業の情報システム部員。OAおよび社内システムの運用・管理を主に手がけている。

 member_square03.png

鈴木 幸子:高橋と同じ企業の情報システム部員。セキュリティ管理を担当。もともと営業だったが、ある日突然に情報システム部門に転属になって3年目。

 member_square04.png

佐藤 健:出版社グループの情報システム全般を担当。各グループ会社の情報システム担当と連携しながら、PCのメンテからサーバー運用までを一手に担う。

何が彼&彼女をそうさせる? トラブルメーカーにありがちな傾向と対策は?

—— PC やタブレットなどを無くしたり、壊してしまったりする人も、悪意があってわざとやる人はいないと思いますが、実際のところ「やらかす人」の特徴などはあるのでしょうか?

Information_system_img1.png

山田:たとえば毎回こちらが何かを頼んでも、ちゃんと対応してくれない人とか、必要なことを憶えてなくて、適当にやって失敗するとか。そういう傾向が目につく人は、かなりの確率で「ブラックリスト」入りしていますね。毎回「ああ、またあの人か」という感じで特定されています。

高橋:「適当」というのは、まさに当たっていますね。やたらにPCが故障する人がいて、私が対応しただけでも3回くらい壊しているんですが、PCの中を開けると、とにかく汚い。ホコリがバラバラ落ちてくるんです。たぶん持ち歩くカバンの中がホコリだらけなんでしょう。そんなだから、PCの扱いも推して知るべしです。

鈴木:私が経験したケースでも、とにかく扱いが雑な人がいました。電源を差すのにコンセントじゃないところに差して、「これ、曲がってた」と持って来る。「曲がってたんじゃなくて、曲げちゃったんでしょう」と聞いても、「なんか曲がってた」と要領を得ない。それ以降、その人に備品を渡す際には異常がないか確認した上で渡すようにしています。

——今の若い人は、PCを持ったことがない人も多いと聞きますが、基本的な扱いなどは最初に教えないんですか?

image.jpg

高橋:一応は言うんですが、うるさいなあという感じで(笑)。でも、やはり壊しちゃったりするのは若い人が多いですね。扱いを知らないんだと思います。それだけに、「こうしなきゃダメだ」とばかり言うのではなく、なぜそんな使い方をするのかという、相手の視点に立って考えてみることも、若手の社員相手には特に必要だと感じています。

言ってもムダな人より、ちゃんと使っている人のためにエネルギーを注ぐ

——「やらかす人」の意識を変えるには、そもそも、無くしたり壊したりするとどうなるか、ということを理解させる必要があると思います。

Information_system_img3.png

佐藤:ほとんどの人はそういう説明をすれば理解してくれるし、丁寧に扱うようになります。ただ、実際のところトラブルをよく起こす人というのは、100人社員がいたら1人か2人に過ぎないんですね。そして、そういう人は残念なことに何回言っても変わりません。

——紛失による情報漏えいのリスクや、故障が業務に与える損失を理解してもらうといったレベルの話ではなさそうですね。

佐藤:私も最初の頃は、なんでこんなに頻繁に故障させてしまうんだろうと思って、周囲の人に聞いてみたりもしたんです。すると、出てくる話がPCだけじゃない。仕事においてもさまざまなトラブルを抱えている場合が多いそうです。要するにPCは氷山の一角なんです。だから、いくらこちらで言っても、本人にしてみるとたくさん言われている中の一つとしか感じていないんでしょうね。

——すると、いくら筋道立てて説明しても効果は期待できなそうですね。

佐藤:そう分かってからは、私の方も基本的に何も言わなくなりました。改善が期待できない100人中の1~2人に労力や時間をさくよりも、ちゃんとやっている98~99人のためになることにエネルギーを集中する方が、情報システム担当者としてはより正しいと考えたからです。

セキュリティは基本に忠実に。時にはペナルティも意識付けには有効

——言っても聞く耳を持たないからといって、セキュリティに関わる問題などは放っておくわけにいきません。会社のガバナンス対策として、具体的にどのように対応していますか?

山田:PCの紛失という事態までを考慮に入れるなら、HDDロックですね。最初にパスワードで入らないと、そもそも起動すらできないという状態を設定しておく。そうしておけば万が一紛失しても、外部からはアクセスできないので安全です。

——やはり奇策などはなくて、そうした基本中の基本がもっとも大事で効果があるわけですね。管理者と一般ユーザーの権限を分けるとか。

高橋:あとはBitLockerも費用対効果が非常に大きいと思っています。ストレージの内容を暗号化することで盗難時の情報漏洩リスクを低減し、また解除には48桁のパスワードが必要というWindowsの標準機能ですね。やはりPCを紛失してしまうことを前提にした体制であることが大切かと思います。

——場合によってはペナルティを科すという、ハードな対応もあるのでしょうか?

Information_system_img4.png

鈴木:Surfaceの画面を4回割った人がいて、それもフリスビーでもしたのかというくらいひどい割れ方だったんです。それでも3回目までは黙って取り替えたのですが、さすがに4回目はこれ以上無理だと判断して罰金にしました。当社は規則としてiPhoneやiPadを紛失や壊した場合は罰金があるんです。そうしたら、それ以降は割らなくなりました。

佐藤:たとえば壊した場合でも、私たち管理する側と業務の現場では少し感覚が違っています。こちらはなぜ壊したのかを知ろうとするけど、現場の上司などは仕事ができないから早く代わりを手配してくれみたいな。そこであまり強硬に出てしまうと、その後の仕事がしにくくなる懸念もあります。なので罰金などのペナルティも、最初から会社の規則としてあれば使いやすいけれど、そうでないと組織や社風に合うかどうかという微妙な判断が必要になるでしょうね。

ハードな効き目の対策をソフトに根付かせるのが「腕の見せどころ」

——これまでに試してみて「やらかす人」に実際に効果があった対策ってありますか?

鈴木:同じ罰金でも、紛失対策についてはちょっと面白いカルチャーができあがっています。ペナルティがルールとして浸透しているので、飲み会の時なども帰り際、お互いに「スマホ持った?」、「PC大丈夫?」と声をかけ合ったりしています。もちろん「忘れてない?(笑)」みたいなノリですけど、それが自然な形で意識づけになっているみたいです。

山田:「ペナルティ=抑止効果」と考えると、当社の場合は顛末書があります。ワークフロー上にちゃんと書式が用意してあって、「持ち出す、無くす、壊す」などをした人は書かなくちゃいけない。この顛末書は必ず代表取締役社長のところまで行く決まりで、もちろんその途中には各上長の承認もあって、管理職全員の目に触れることになる。それが結果的に一つの抑止力になっています。

佐藤:まだ実施していませんが、今検討中なのはPCの資産管理ツールなどの導入です。操作ログやWeb履歴の記録などを含めたさまざまなセキュリティ対策を導入することで、会社の備品を公私混同しないような意識づけをしたらどうかと考えています。

山田:そういう施策を、経営層からある程度強制的に義務づけるというのも一つの手段だと思います。実際にログを取る仕組みがあると宣言されれば、公私混同で遊びのWebサイトを見ているような人も、これはいけないなと考えてくれるようになると思います。

——ペナルティや顛末書などは実効があるけれど、あくまで罰則ではなく、社内に公私混同は良くないとかセキュリティは大切だという空気を作り出せるようにする。いうなればハードな施策をどうソフトランディングさせていくかが情シスの課題であり、腕の見せどころというわけですね。

/Information_system_img5.png

【次回予告】
情報システム部門担当者「あるある!」座談会 第2回は「どうしよう、突然の異動!? 『今日から情シス』の心得とは?」です。お楽しみに!

2019.03.26
Ebookダウンロード

Ebookダウンロード
企業資産としてのメール管理とは ~法規制対応、内部統制に「メールアーカイブ」を活用〜

本資料では、最新のメールアーカイブの潮流など、企業のメールセキュリティ対策に役立つさまざまな情報を解説します。ぜひご一読ください。
・サイバーセキュリティ、メールセキュリティの現状
・関税法やGDPR対策など、高まる企業統制の重要性
・膨大なメールの暗号化を可能にする技術 など

Ebookをダウンロードする

「ゼンロック」メールマガジン購読のご案内

「ゼンロック」メールマガジン購読のご案内

企業セキュリティに関するニュースやインシデント情報、製品情報などをお届けします。

メルマガ登録する