情報セキュリティトピックス

コンプライアンスやリスク管理に関するその時々のホットなテーマを、現場を知る
危機管理専門会社ならではの時流を先取りする鋭い視点から切り込み、提言するコラムです。

【緊急レポート】テレワーク導入の簡易ガイド ~テレワークの推進を前向きに、注意して何とか乗り越えよう~

【もくじ】

1.はじめに

2.対象者と対象業務の選定

 ポイント① あらためて業務の切り分けを

3.労務管理

4.テレワークのシステムを選ぶ

 ポイント② できれば会社貸与の端末を

 ポイント③ テレワークを円滑にするための役立ちツール

5. 安全にテレワークを推進するために

 ポイント④ オフィスにいるときと変わらない、基本的な対策

 ポイント⑤ その他セキュリティの留意点

 ポイント⑥ ローカルルールとコミュニケーション

6.テレワークの新しい可能性と安全配慮

7.その他、参考情報

1.はじめに

政府は緊急事態宣言で、新型コロナウイルス対策として、人と人との接触を8割ないし7割削減する必要があると強調しています。多くの企業では、急遽テレワークを導入・検討したり、これまで限定的だった対象者の範囲を広げたりしています。新型コロナウイルスの感染拡大を抑止すべく、政府から事業者への要請として繰り返し発せられたテレワークのお願いですが、その実施率は5.6%に過ぎないという結果が、厚生労働省がLINEに委託して実施した全国調査で明らかになっています。実施していない理由として「テレワーク制度が整備されていない」との回答が41.4%、「テレワークで行える業務ではない」が39.5%、「テレワークのためのICT(情報通信技術)環境が整備されていない」が17.5%でした。

また、東京23区内の民間企業で構成される東京商工会議所が4月8日に発表した、新型コロナウイルス感染症対応アンケートによると、テレワークを実施している企業は26.0%、実施検討中は19.5%となっています。テレワークを実施している企業は従業員規模が大きいほど実施率が高く、実施検討中の企業は全体に比べて、従業員規模では50人以上300人未満、業種では商業やサービス業の割合が高いという結果です。

緊急事態宣言の効果を高めるためは、大企業だけでなく中小・零細企業も含め、早急にテレワークの実施を促進し、設備不備などのネックを洗い出し、助成金などを活用することでその実施率を高めたいところです。もちろん、実施したくても、業務の性質上、実施できないところもたくさんあります。電車の運転士や運転手、店舗の店員、医療・介護事業者などはその典型でしょう。でも、一方で「なんとなくウチはできないな」ということにしている企業もあるはずです。“本当にできない”のと“できないことにしている”のでは大きな違いです。とりあえずやってみることも大事だと思います。通勤時の感染リスクの低減が期待されるテレワークは、従業員の健康を守ることにもつながり、それが国全体の感染拡大の抑制にも資するはずです。全社的な移行が難しくても、部署ごとに在宅で勤務したり、出社する従業員の数を減らすなどのできることからの工夫は進められます。時差出勤と在宅勤務を組み合わせれば、朝夕の通勤ラッシュの混雑をさらに減らすことは可能です。今回のレポートでは、あらためての意味を込め、必要最低限の留意点としてテレワークを行う際の、主に情報セキュリティや情報システム面から見た注意点や対策についていくつかお伝えいたします。

2.対象者と対象業務の選定

  • ステップ1:対象者の選定
  • 将来的にはすべての従業員が希望すればテレワークができる状態にすることが理想ですが、最初のお試し期間で効果検証がしやすいように対象者を絞った形で進めるのが有効です。

  • ステップ2:対象業務の選定
  • 対象業務を絞る際のポイントは、『どんな業務をテレワークの対象とするか』です。まずは業務全体の「洗い出し」を行い、テレワークを導入しやすい業務と導入しにくい業務を分けてみましょう。

※業務洗い出しのチェックのポイント

  • 業務にかかる時間(業務にどれくらい時間がかかるのか)
  • 使用する書類(業務で使用する書類はあるか、その書類は紙媒体か電子ファイルか)
  • 使用するシステムやツール(テレワークでも実施可能なシステムやツールが揃っているか)
  • セキュリティ上のリスク(業務上で取り扱う機密情報や個人情報はあるか)
  • コミュニケーション量(業務は何人でおこなうか、関係者とのやりとりの頻度はどのくらいか)

洗い出しが終わったら、対象業務を(1)現状で実施できる業務(2)いまは実施できない業務(3)実施できない業務に整理します。現状で実施できる業務からトライアルをスタートさせ、社内やテレワーク実施者から徐々に出てくる課題やニーズに対し、対応・解決できるツールを導入する流れにするとスムーズです。

ポイント① あらためて業務の切り分けを

これからテレワークを導入する企業は、まず「テレワークに適さない業務があること」を理解し、向いている業務と向いていない業務を分けて考える必要があります。

業務を遂行する「場所」に目を向けると、例えば従業員の勤務地が工場や店舗である場合は、その場所でしか業務が成立しないので、当然テレワークの対象外になります。また、顧客の拠点で受託開発業務等をする場合は、顧客の指示なくテレワークを実施することはできません。

次に業務内容という観点ではどうでしょうか。たとえば、オフィスで映像編集のために大規模な機材や専用ソフトウェアを使用する場合など、同じような環境を自宅に構築することが困難な業務はテレワークには向きません。

業務で取り扱う情報の重要度によって業務を切り分けることも大切です。企業の新製品を宣伝するために、発売前から販促資料を作成する必要がある部署や、セミナーを主催するために日頃から参加者の個人情報を取り扱う部署がその例です。情報漏えいのリスクを考慮すると、そうした部署に所属する従業員が在宅でできる業務は非常に限定的なものになる場合があります。

テレワークで遂行可能だと判断した業務のうち、情報漏えい等の心配がないものであれば、オフィスで使用しているPCをそのまま持ち帰る方がよいケースもあります。

3.労務管理

  • ステップ1:労働基準法の適用
    どのようなテレワークの形態を選択する場合でもあらかじめ就業規則などにテレワーク勤務に関する規定を設けておきたいところです。

    • ①労働条件の明示
    • 事業主は労働契約締結に際し、就業場所を明示する必要があります。(労働基準法施行規則5条2項)在宅勤務の場合には、就業場所として従業員の自宅を明示します。

    • ②労働時間の把握
    • 使用者は、労働時間の適正な管理のために、従業員の労働日ごとの始業・終業時刻を確認し、記録する必要があります。(労働時間の適正な把握のために使用者が高ずべき措置に関する基準・平成13.4.6基発第399号)通常の労働時間制やフレックスタイム制のほかに、一定の要件を満たせば、事業場外みなし労働時間制、専門業務型裁量労働制、企画業務型裁量労働制も活用できます。

    • ③業績評価・人事管理等の扱い
    • テレワークをする従業員の評価や人事について、会社へ出社する従業員と異なる制度を用いる場合は、その取扱い内容を説明しておく必要があります。その際には就業規則の変更手続きも必要です。(労働基準法89条2)

  • ステップ2:実施の申請と承認
  • テレワーク実施の申請と承認は、下記のようなプロセスで行うことが考えられます。自社の現状に即した手順を考えてみましょう。

  • ステップ3:労働管理方法
    テレワーク時は会社へ出勤する勤務とは異なる環境で業務を行うため、労働時間や業務の管理方法についてルールを決めておくことが大切です。

    • ①勤怠管理

      始業・終業時刻の報告とその記録方法をあらかじめ決定しておきましょう。

      〈勤怠管理の方法例〉

      • Eメール
      • 電話
      • 勤怠管理ツール
      • 業務中は常時通信可能な状態にする

    • ②業務管理

      テレワークの懸案事項のひとつとして、同僚や上司とのコミュニケーションがあります。テレワーク実施者の業務遂行状況の把握や担当業務の進捗状況を周囲と共有できるようにしましょう。

      〈業務管理の方法例〉

      • タスク管理ツール等を利用し、業務の従事時間や実施した仕事の可視化、従業員間での情報共有ができるようにする
      • ワークフローシステムを利用し、業務の流れを効率化する

4.テレワークのシステムを選ぶ

社外にいながらにして職場にいるのと同じ業務をしようとしたとき、さまざまな方法がありますが、よく考えていただきたいポイントは導入のしやすさや使い勝手とセキュリティのバランスです。利用する対象者の範囲や業務内容、テレワークの形態によって、主に4つのシステム方式があります。

  1. リモートデスクトップ方式
  2. オフィスに設置されたPCのデスクトップ環境を、テレワーク端末から遠隔で閲覧・操作するシステムです。オフィスで行っていた業務をそのままテレワーク環境でも継続して実施でき、保存したファイルはオフィスにある端末に保存されるので情報漏洩が起きにくい点がメリットです。専用のアプリケーションや専用機器(認証キーなど)を用意すればスタートできるため、導入コストも抑えられます。

  3. 仮想デスクトップ方式
  4. オフィスに設置されているサーバ上から提供される仮想デスクトップに、手元にある端末から遠隔でログインして利用するシステムです。①と同様、テレワーク端末には作業した内容は保存されません。オフィスに仮想デスクトップを管理するサーバを設置する必要などがあり、初期コストはかかりますが、セキュリティレベルの向上が期待できます。

  5. クラウド型アプリ方式
  6. インターネットからクラウドサーバ上にあるアプリケーションにアクセスし、作業を行うシステムです。アプリケーションの利用料以外、設備コストはほとんどかからないため安価で利用でき、どこからでもどんな端末でも同じ環境で作業ができます。その一方、クラウド上で作成したデータはクラウド上にも端末にも保存先を設定できるため徹底した情報管理が必要になります。

  7. 会社PCの持ち帰り方式
  8. 会社で使用しているPCを社外に持ち出し、主にVPN装置等を経由して社内システムにアクセスし、業務を行う方式です。PCに業務データの多くが格納された状態で社外へ持ち運びすることになるため、盗難や紛失に情報漏えいなどのリスクが高くなります。また、別途ノートPC用意しなければならないということであれば、その端末のセキュリティ確保のためのコストがかかります。


ポイント② できれば会社貸与の端末を

従業員が在宅勤務する方法としては、私物のPCやタブレットなどを利用する「BYOD」(Bring Your Own Device)があります。ただ、更新プログラムを適用していないなど、OSが最新の状態に保たれていない場合は、セキュリティに問題がある恐れもあります。サポート期間が終了したOSを使い続けているPCや、セキュリティ対策が不十分でマルウェアに感染しているPCがないとも限りません。スペック面でも、Web会議ソフトウェアなど業務に必要なアプリケーションをスムーズにインストールできないPCを従業員が使用することも考えられます。

情報漏えいなどのリスク対策として、従業員の業務状況把握のために操作履歴を記録することも考えられますが、そのためにはPC操作ログ収集ツールを従業員の個人PCにインストールしなければなりません。加えて、プライベートな利用に関する個人PCの情報を企業のサーバに保存することになるため、従業員にとっても企業にとっても現実的ではありません。

このような状況を踏まえると、システム管理者の立場からすれば、管理がしっかりと行き届いたノートPCを社内で用意し、自宅に持ち帰って従業員に利用してもらう方が、安全かつ効率的に運用できると考えるのは当然の流れです。テレワークを本格的に実施するタイミングでスムーズに運用が開始できるように、PCの操作ログを記録したり、USBメモリなどの外部記憶媒体の使用を制限できる仕組みを導入したりすることで、社内でノートPCを適切に運用、管理しておくことを推奨します。

会社の規模や状況によってノートPCの手配が難しい場合には、私物PCをシンクライアント端末として利用する方法もあります。ただこの場合も、必要なときに安全に活用できるよう、日頃からテレワークでの運用を実施し、課題の洗い出しや改善に取り組んでおくべきです。

どうしても会社支給ではなく自宅のパソコンで作業をする際は最低限、(1)パソコンにウイルス対策ソフトをインストールしていること(2)OS(コンピューターを動かすためのソフトウェア)のアップデートを定期的に行うこと(3)プライベートとは別のユーザーアカウントでログインすることはもちろん、危険なサイトにアクセスしたり、ファイル交換ソフトを使用したりしないよう気を付けるようにしてください。

ポイント③ テレワークを円滑にするための役立ちツール

テレワークを実施すると「チームメンバーとのコミュニケーションが不足している」「業務の進捗が確認できない」といったコミュニケーションや業務管理の課題も出てきます。こうした課題を解決するために、自社の課題に適したツールを複数組み合わせて、テレワークをさらに円滑に進めていきましょう。

(例)課題とその解決のためのツール

コミュニケーションの課題 グループチャット
チーム内での情報共有のスピードを上げ生産性を向上させます。プライベートのチャットツールと異なり、ユーザー権限など管理機能が充実し、ログを各端末に残さず利用できるので安心です。
WEB会議
世界中どこにいても、カメラやマイクを使用して実際に目の前に相手がいるように打合せができます。映像だけでなく音声や資料のやりとりもできるのでコミュニケーションが活性化します。
業務管理の課題 タスク管理
仕事を「見える化」することで、他のメンバーとの情報共有、部下の進捗管理を行い、チームの業務効率を向上させます。

5. 安全にテレワークを推進するために

第三者が立ち入る可能性がない場所で、従業員同士は直接やりとりをし、PCやインターネット回線もセキュリティ対策が万全に施されているのが普段のオフィスでの業務環境です。テレワークは、いつでも、どこでも、オフィスにいるときと同じように業務が推進できることがメリットですが、情報セキュリティはオフィスでの業務以上に高い意識をもって対策をしていかなくてはいけません。

【注意事項】

  • テレワークで使用するパソコン等(タブレット、スマートフォン)
    • サポートが終了しているOS(オペレーティングシステム)のパソコンを使用しない。
    • ウイルス対策ソフトを必ず導入する。
    • 毎日の業務を始める前に、使用するパソコン等のOS、ウイルス対策ソフト、アプリケーションを最新の状態にする。
    • テレワークで使用するパソコンは、自分以外に使用させない。
    • 不特定多数が利用するパソコンの使用を避ける。
    • データを暗号化して保存する。
    • ファイル共有機能をオフにする。
  • 自宅のWi-Fiルータを使用するとき
    • ファームウェアを最新のものにアップデートする。
    • 管理用IDとパスワードを購入したままの状態で使用しない。
    • SSID(アクセスポイント名=AP名)は、個人が特定される名前などを設定しない。
    • WEPによる暗号化方式を使わない。
ポイント④ オフィスにいるときと変わらない、基本的な対策

テレワーク環境に限らず、オフィスにいるときも同じように注意すべきリスクもあります。フィッシング詐欺やビジネスメール詐欺、そしてマルウェアに感染させる標的型攻撃メールです。新型コロナ拡大に便乗したり、取引先や同僚の名前をかたって添付ファイルを開かせようとしたり、外部の悪意あるサイトに誘導したりする手口が盛んで、社内にいるときも注意が必要なのはもちろんですが、テレワーク時にはなおさら留意すべきです。というのも、対面で仕事をしておらず、メールのやりとりの頻度が高まるからです。

とはいえ、こうしたフィッシングメール、攻撃メールなどの不審なメールや添付ファイルを開いてしまった際は、IT担当者やセキュリティ担当者に連絡できる体制やルールを整えておくことが重要です。これも社内で仕事をするときと同様ですが、自宅などでは緊急連絡先が迅速に確認できない恐れもありますから、あらためていざというときの連絡先とワークフローを確認しておくといいでしょう。

ポイント⑤ その他セキュリティの留意点

テレワークを実施するとなると、利用する側の戸惑いもさることながら、IT・システム担当者の負荷は想像に余りあります。今回、急遽テレワークを取り入れた企業や団体も多く、セキュリティや通信環境といった面での課題も浮き彫りになっています。一定のセキュリティ対策が行われている(はずの)職場のネットワーク以外での勤務は、セキュリティ上のリスクが高まる懸念もあります。

自宅やその他の場所で働く場合、不特定多数の人と同じ場所で作業することになります。PC画面をのぞき見られたり、あるいはWeb会議の会話を聞かれてしまうと、自社の実情が筒抜けになってしまうかもしれません。半分はマナーとして、また半分は情報漏えい対策として、画面が他人からは見えないようフィルターを装着したり、スクリーンロックをかけたり、またビデオ会議をする際にはあまり大声にならないよう留意するといったルールを定めるのが望ましいでしょう。

また、端末の紛失・盗難といったリスクにも備える必要があります。端末内に保存されたデータが第三者に見られないよう暗号化するとともに、起動時の認証をしっかり設定しておくことが大切です。

そして、テレワーク環境でもう1つ留意が必要なのは、接続回線のセキュリティです。多くが、家庭やパブリックスペースの無線LANを利用することになるでしょうが、社内にいるときと比べると、回線のセキュリティが確保されているとは限りません。もしかすると、誰か悪意ある人物が偽のアクセスポイントを用意していたり、盗聴を試みているかもしれません。不用意にその辺の公共ネットワークに接続するのは避け、テザリングを利用したり、VPNで通信を保護するといった対策が必要になります。

ポイント⑥ ローカルルールとコミュニケーション

急遽導入したテレワークのシステムは、最初は在宅での業務を確実にやりづらくする可能性を孕みます。同時に危惧されるのが、自社のシステムが使いづらいと感じた従業員が、個人で勝手に仕事のデータのやりとりを“工夫”し始めた際の情報漏えいのリスクです。テレワークで(データのやりとりなどが円滑に)できない状況を、個々人が勝手な判断で『できる』ようにするケースも出てくる可能性があります。例えばネット上でフリーのソフトウェアをダウンロードしたり、オンラインディスクを無用に活用したりすることで、重要な情報が危険に晒される可能性があります。ただ、これらの背景にあるのは、社員に対する教育の甘さやシステムの不備など、あくまで平時にも存在していたセキュリティリスクです。そもそもセキュリティに問題のある企業がテレワークをやったらこうなる、というだけですが、テレワーク自体が問題な訳ではありません。

また、現場の従業員だけでなく、彼らをマネジメントする管理職側も戸惑う可能性が高いのではないでしょうか。管理職の多くは『テレ(=遠隔)マネジメント』をやってきていないはずです。急に部下が目の前から消えてしまったマネジャーに対するサポートを企業側は考えるべきでしょう。

例えば、テレワークにおける管理職向け指導でとある企業が行った有効例として「部下に対する『頑張れよ』メールの禁止」だとか。部下が『仕事のこの部分で苦労している』などと連絡した時は、『具体的にこうしてくれ』といった指示を出すメールを徹底すべきでしょう。対面ではできていたコミュニケーションが、文字だとできなくなる上司も少なくないためで、こうした地味なマネジメントの工夫もテレワークには必要になりそうです。

6.テレワークの新しい可能性と安全配慮

緊急事態宣言によって、子どもや配偶者も在宅を強いられる今、もともと十分な広さを確保することが困難とされる日本の住宅の中に、集中力を必要とされる仕事を行う場所を確保することは難しいのが現実です。たとえば、子供たちがすぐ横で遊ぶリビングのテーブルで、パソコンを使って仕事をしていた場合を考えると、画面をのぞき込まれることもあるでしょうし、ちょっと席を外した際にパソコンを勝手に操作されてしまうこともありえます。子供が自撮りした写真や動画に作業中のパソコン画面が写り込むことだって考えられます。テレワークといってもなかなかうまくいかないことも多々あるかと思います。

SNSやまとめサイトではテレワークに対する不満や批判など、さまざまな議論が既に発生しています。今回の緊急テレワークを企業も従業員も“耐え忍ぶ”のでなく、むしろ『実際にできたこと』『できなかったこと』を明らかにし、その原因について分析する機会にしてほしいと思います。今回、各企業が分析したテレワークの問題点を参照にしながら、ノウハウとして共有するといった試みがあれば、今後の推進に弾みをつけるチャンスになります。

テレワークは出社できないための代替措置というだけでなく、新しい可能性も生まれています。テレビ会議は物理的に同じ空間に集まる必要がないので、小まめに回数が多く開くようになります。テレワークによって無駄が見えたり、効率化が進んでいるという声も聞きます。また、今回の新型コロナウイルスの問題もしかり、昨今相次いでいる自然災害もしかり、さらに育児や親の介護など、働き方にまつわる問題は増えるばかりです。そうした中で、テレワークという「働き方の選択肢」が増えることは決して悪いことではないでしょう。災害も多く、予測できない緊急事態は誰にだって発生しうるわけです。その時に、いつでもどこでも働く仲間とつながる環境を普段から備えておくことが大事です。早く家に帰るけどリモートで会社や取引先の問い合わせに答えたりできるようにするといったそういう選択肢が取れるってことは、会社の魅力にもつながりますし、労働人口が減っていく中で、多くの企業が自然とそうなっていくのではないかと思います。

それと、今般の新型コロナウイルス対策に際し、企業のテレワーク実施率が政府目標に遠く及んでいない現実が明らかになっています。「安全・人命優先」と「テレワークの足かせを切る」という2つの方向性でテレワークをもっと広げるべきだと考えます。テレワーク実施率と感染者数との相関性は強く、感染に対する危機意識が人々の行動を大きく左右します。数万人規模の死者が出る事態となれば、もはや経営どころの話ではありません。

職場に危機感の薄い上司や同僚がいる場合、企業トップからのメッセージや出社の承認制の導入が有効です。また、顧客や取引先に対して弱い立場の企業のために、大企業や業界団体を通じた納期緩和や遠隔取引の依頼・通達がより行われることが期待されます。

7.その他、参考情報

【テレワーク導入に向けた参考サイト】

【テレワークに関連する助成金、補助金の参考サイト】

Back to Top