IT(情報技術)が日々進歩する中で、会社を経営するにあたってパソコンの重要性はさらに増しています。
中でも、パソコンを利用するために必要なIDやパスワードの管理は、慎重に行わなければなりません。多くの従業員を抱えている会社では、その分ID、パスワード管理が大変です。
しかし、IDやパスワード管理を一歩間違えれば、思いもしなかったダメージを会社が受けることもあります。
今回は、社内ID・パスワード流出のリスクと管理上の注意点について、企業のIT問題を得意とする弁護士が解説します。
1. ID・パスワードが流出したらどうなる?
冒頭で、ID、パスワードの重要性について解説しましたが、ID、パスワードが流出してしまうとどのような危険があるのかをまとめました。
ID、パスワードの流出事故とそのダメージについて、具体的にイメージしていただき、その重大性をよくご理解ください。
1.1. 企業秘密が流出する
まず、当然のことながら、IDやパスワードが管理者以外に漏れれば、パソコンに保存されている重要な情報が流出するおそれがあります。
会社内の情報には、重要な情報が多くあり、社外には絶対もらしたくない「企業秘密」が多くあります。例えば、次のようなものです。
- 社内人事に関わる情報
- 未発表の最新プロジェクトの資料
- 会社のノウハウ、顧客情報
関係者以外に知られたくない情報は山の様にあるはずですし、中には、会社経営が完全に終了しかねない程重要な情報も、パソコンの中に保存されています。
1.2. 収益に影響を及ぼす
社内人事に関わる情報がみだりに社内で拡散されれば、円滑な人事業務の進行が困難になります。
また、プロジェクト資料が外部に流出し、競合他社に渡れば、アイディアを奪われ、会社の収益に大きなダメージを与えることも容易に想像できます。
1.3. 信用性が低下する
ID、パスワードが簡単に流出し、重要な企業秘密を社外に漏らしてしまうような会社は、社会的に信用されなくなることは明らかです。
特に、取引先や顧客の立場からすれば、自身の重要な情報を預けてしまうと流出のリスクがあるとなれば、御社と取引を継続することはないでしょう。
「ベネッセ事件」のように、流出データの中に顧客のプライバシー情報が含まれていたら、会社の信用はガタ落ちです。
1.4. ネット情報の拡散は速い
さらに、パスワードや情報が第三者の目に触れるだけではなく、データそのものがネットに流出してしまえば、瞬く間に拡散していき、完全な削除は不可能です。
インターネット上の情報を、IT問題に強い弁護士に依頼して削除請求をするという手もあるものの、ノウハウや顧客情報など、一度流出してしまえば取返しのつかない重要な情報も多くあります。
2. ID・パスワード流出はなぜ起こる?
ここまでお読みいただければ、ID、パスワードが、社外に流出してしまうことの危険性、会社経営に与えるダメージの大きさは、十分ご理解いただけたことでしょう。
ID、パスワードの流出事件を、未然に防止するためにも、よくある流出の原因を知っておく必要があります。
そこで次に、「ID、パスワードの流出はどうして起きるのか?」について、弁護士が解説します。
2.1. パスワード設定の甘さ
ID・パスワードが他人に知られる原因は、日常のいたるところに潜んでいます。
まさかパスワードがばれることなどないだろう、という甘い考えから、単純なパスワードにしてしまうなど、パスワード設定の甘さが、流出事故の原因となることがあります。
家族の名前や誕生日、趣味などをパスワードに組み込んだためにパスワードを推測され、中のデータを見られてしまった、というケースも跡を絶ちません。
2.2. 個人管理の甘さ
覚えるのが面倒だからといってオフィスのパソコンの近くにID・パスワードのメモを貼れば、不特定多数の人に見られてしまいます。
ところ構わず入力操作をすれば、パスワードをのぞき見されてしまうかも知れません。
また、パソコンの予測変換、キャッシュによる自動入力など、便利な機能がアダになることもあります。特に、パソコンを複数の社員でシェア(共有)している場合、注意が必要です。
2.3. 業務を理由とする流出
ID・パスワードが他人に知られる原因は、普段の業務の中にも潜んでいます。
部下や同僚に仕事を頼む際に、IDとパスワードを教えてしまうのが典型的です。とりわけ、最近はクラウドを利用して共同作業をする職場も増えています。
クラウドは便利ですが、反面、アクセスID・パスワードを共有するためのメールが誤って第三者に送られてしまうリスクや、ウィルス感染によるID・パスワードの流出リスクも高まります。
3. 情報を流出させない対策は?
いよいよ、今回のテーマでもある、ID、パスワードを流出させないため、会社経営者が講じておくべき対策について、弁護士が解説します。
ID、パスワードが、社員(従業員)個人のずさんな行為によって流出してしまうこともありますが、最終的には、教育、指導をすべき会社側(使用者側)の責任です。
会社経営者として、自社でID・パスワードの流出事故が起きないよう、日頃からの対策が必須となります。
3.1. 推測しにくいパスワード
他人に簡単に推測されてしまうパスワードを社内データ管理に用いるのは問題外です。
管理者本人にしか分からないヒントや、数字やアルファベットを織り交ぜた複雑な文字列など、他人が推測しにくいパスワード設定を促すことが、情報流出防止の第一歩です。
3.2. メモを残させない
上記に解説しましたように、人の目につく場所にメモを残したり、ところ構わずパスワードの入力操作をしたりすることは、非常に危険です。
こうした不注意がないよう、常日頃から従業員(社員)への教育、指導を徹底しましょう。
IT問題に強い弁護士に依頼して、社内のITトラブルについて教育、研修を実施することもご検討ください。
3.4. ID・パスワードを共有させない
安易にIDやパスワードを他人に共有させない工夫も必要です。ID、パスワードの重要性を、社員に理解させ、共有をさせないようにします。
また、仕事でどうしても共有する必要がある場合には、次のような方法を利用することで、情報流出を避けるための方策を練りましょう。
- 必ず上司に許可を取らせる
- 共有の必要がなくなったら、すぐにパスワードを変更させる
3.5. セキュリティ強化の工夫
二段階認証など、万が一、パスワードが流出した場合を想定したセキュリティづくりも大切です。
情報技術の発展とともに、情報を守るためのセキュリティの技術もまた、日々進化しています。
3.6. ウィルス対策
クラウドを利用する場合に限らず、社内メール等でIDやパスワードを共有する場合には、必ず宛先をチェックさせ、誤送信を防止する必要があります。
また、社内パソコンのセキュリティソフトやOSは常に最新のバージョンに更新し、ウィルス感染のリスクを減らしましょう。
4. ID・パスワードが流出したら?
ここまでに解説した万全の対策をとったとしても、人的なミスを完全になくすことは不可能です。
万が一、ID・パスワードが社外に流出してしまった場合、初動対応が非常に重要となります。スピーディに適切な対応をするためにも、日頃から流出に対する初動対応を理解しておいてください。
4.1. すぐパスワードを変更する
冒頭でも解説したように、一度流出したID・パスワードやデータは瞬く間に拡散していきます。
データの流出は取り返しがつきませんが、パスワードを変更すれば、さらなるデータ流出は防ぐことが出来ます。流出が発覚したら、すぐにパスワードを変更して、被害拡大を防ぎましょう。
4.2. 流出経路や原因の特定
パスワードを変更しても、流出経路や原因が分からなければ同じことの繰り返しです。
ID・パスワードの流出が発覚した場合には、どこから漏れたのか、なぜ漏れたのかをきちんと特定しましょう。
5. 流出させた従業員を処分できる?
IDやパスワードを流出させてしまった原因が、ある従業員の非常に重大な過失による場合などには、会社側(使用者側)としては、流出させた社員に制裁(ペナルティ)を与えたいと考えるケースが少なくありません。
しかし、社員にとっては懲戒処分などの制裁(ペナルティ)は非常に重大なものですから、もし懲戒処分、解雇などを検討する場合、慎重に進めなければなりません。
社員に対する懲戒処分の理由としては、次の2つが考えられますので、以下、順に解説していきます。
- 不正アクセスを理由とする懲戒処分
- 守秘義務違反を理由とする懲戒処分
5.1. 不正アクセスに対する懲戒処分
管理権限や決済権限者の承諾がないのに他人のID・パスワードでログインしたり情報を閲覧する行為は、「不正アクセス」に当たり、不正アクセス禁止法の処罰対象になります。
決裁権者の承諾なく他人に自分のID・パスワードを提供することも、不正アクセス禁止法の処罰対象です。たとえ同じ職場内でも、自分以外のID・パスワードを使用すること・させることは違法行為です。
ID・パスワードの提供・使用が無断で行われた結果、情報流出が起きてしまったとき、提供した従業員も使用した従業員も双方とも、不正アクセスを理由に懲戒処分とすることを検討します。
5.3. 守秘義務違反に対する懲戒処分
未発表の人事情報やプロジェクトの情報は、会社の業務上の「秘密」、すなわち企業秘密に当たります。
社員は、会社に雇用されている以上、会社にとって不利益となる行為をしてはならず、その1つが、「会社の秘密を漏らしてはならない。」という、「守秘義務」です。
これらの情報の口外やデータの持ち出しは会社に対する「守秘義務違反」になります。
5.3.「不当処分」にならないために!
先ほど解説したとおり、「懲戒処分」は、労働者に与える不利益が非常に大きいことから、合理的、かつ、相当な処分でなければ、「不当処分」として無効となるおそれがあります。
例えば、会社側(使用者側)のID・パスワードの管理体制が甘いにもかかわらず労働者に責任転嫁して懲戒処分としたようなケースでは、労働審判や裁判で争われる可能性があります。
6. ID・パスワードの使回しや共有は違法?
最後に、よくご相談される、IDやパスワードの使いまわし、共有について、弁護士が解説していきます。
IDやパスワードを使いまわしたり、社員間で共有したりすることは、情報流出の危険性が高まる行為であることから、お勧めはできませんが、「違法」とまでいえるのでしょうか。
6.1. 不正アクセスの可能性
各機器のID・パスワードが違うと面倒なため、1つのID・パスワードを複数の従業員で使い回している会社もあるのではないでしょうか。
クラウドを使って作業する場合には、作業に参加する従業員が同一のID・パスワードを共有することがあります。
しかし、他人が使用しているパソコン等にID・パスワードを入力したり、他人のID・パスワードを使用したりすることは、不正アクセスに当たる可能性があります。
6.2. 管理権限を与えればOK
形式的には、他人のIDやパスワードを使っていたとしても、不正アクセスに当たるのは、管理権限や使用承諾がない場合だけです。
つまり、必要に応じてID・パスワードの使用者に管理権限や使用承諾を与えておけば、ID・パスワードの使い回し・共有が違法になることはありません。
6.3. 情報流出のリスクが高まる
もっとも、上記に解説しましたように、複数人にID・パスワードを共有すれば、流出のリスクは当然高まります。
ID・パスワードの使い回しや共有をする際には、情報流出する可能性があることを意識して、管理を徹底しましょう。
7. まとめ
今回は、社内ID・パスワード流出のリスクと、管理上の注意点について、企業のIT問題が得意な弁護士が解説しました。
ID・パスワードや情報流出の危険はいたるところに潜んでいます。ID・パスワードの管理状況を確認してみたら、意外と管理がずさんだった、というケースも少なくありません。
ID・パスワードの管理体制について不安を感じられた会社経営者の方や、情報を流出させた従業員の処遇についてお困りの方は、企業のIT問題が得意な弁護士に、お気軽にご相談ください。