多くの企業は、セキュリティポリシー(又は情報管理の規定)を策定していると思います。しかし、その規定はモバイル端末に対して問題ないでしょうか?

策定の必要性

 一般的な規定は、ITポリシーでも足り得ます。しかし、足りない点もあります。そのため策定していないと、セキュリティインシデントが発生する可能性が高まります。また、従業員もリスクを認識しにくくなり、従業員が逆にセキュリティ事案を発生させる事も起こりうります。

策定していなかったことによるセキュリティリスクの例

 例えば、顧客情報について、従業員間での共有は問題ないという規定があったとします。当然、仕事の都合上、顧客情報は共有することが重要なため、一般的な規定です。しかし、この規定の策定方法は、一昔前の話。今は業務用端末ではなく、私物の端末で従業員同士が繋がっています。この場合において、出先の人から顧客情報を送って欲しいと言われたとします。普段から連絡を私物の端末を使用していたため、頼まれた人は、私物の端末でその情報を送信します。

 この行為は、セキュリティポリシー上は問題ありません。しかし、セキュリティリスクとしては、個人情報流出の恐れがあります。というのも、個人の端末を経由するということは、そこから流出する恐れがあると言うことです。

 このようなリスクを防ぐために、現状にあったモバイルセキュリティポリシーの策定が必要となります。具体的な内容については、次回記載したいと思います。