春の訪れとともに新入社員がやってくる。今どきの新入社員はスマホとともに青春時代を過ごしてきた世代で、PCはあまり使っておらず苦手という人も多い。また総じてデバイスは個人で占有できるものと認識しており、管理されていて利用ルールがあることをあまり理解していない。

 そこで今回は、新入社員に伝えておきたいPC利用の注意点を説明する。

PC利用に関する社内規定を確認させる

 多くの会社員は、会社で扱う資産が大きく「PCなどの目に見えるもの」と「これまでの業務で培った情報」に分類できることを理解している。これに対して新入社員は、ものの価値はすぐに理解できても、情報の重要性はすぐに理解できないかもしれない。情報がライバル企業に漏れることによってこうむる損害や、情報の取り扱いを誤ることで世間から浴びる非難にまで考えが及ばない可能性がある。

 多くの会社は、PCの取り扱いに関してルールを設けている。「業務情報をメールで送ってはならない」「業務に関する文書ファイルを外部ストレージに保管して持ち歩いてはならない」などだ。新入社員がPCを使い始める前に、こうしたルールを必ず確認させよう。その際、会社のPCは単なるものではなく業務に関する情報がぎっしり詰まっている点を念押ししておきたい。これを機に、改めて全社員に周知するのもよいだろう。

 新入社員にまず気を付けてもらうべきは、パスワードの管理だろう。パスワードはロック画面の解除だけでなく、勤怠などの業務システムへのログイン、クラウドサービスへのログインなど、あらゆるシーンで必要となる。パスワードの管理に関するルールは、多くの企業が設けているはずだ。

 だがパスワードも数が多いと管理の負担が増すため、パスワードを付箋に書いてディスプレーに貼ったり、単純で短いパスワードを使い回したりする危険な運用になりがちだ。当然ながらパスワードが破られれば、企業が保有する情報に他人が自由にアクセスできるようになってしまう。社外の人間はもちろん、他部署の人間が自由にデータを見られる状況は避けるべきだ。

パスワードを誰もが見られる場所に貼るのはご法度
(撮影:鈴木 朋子)
[画像のクリックで拡大表示]

 会社によっては、英数字と記号を混在させたパスワードの設定を義務付けていたり、定期的にパスワードを変更させていたりする。こうしたルールはシステムで強制するケースもあるし、人に任せているケースもある。いずれにしても新入社員には、パスワードを忘れた際の対応も含めてルール順守を徹底させたい。

指紋認証や顔認証に対応しているPCでもパスワードを盗まれると、それを使ってサインインされる可能性がある
(撮影:鈴木 朋子)
[画像のクリックで拡大表示]

 PCの前を離れる際も注意が必要だ。本来は短時間であっても離席するのであれば、PCをロックするか、復帰時にパスワードを入力させるよう設定したうえでスリープ状態にするといった対策をすべきだろう。目を離したすきにデータを盗まれたり、データを改ざんされたりする可能性があるからだ。

 多くの企業は、離席時のPCの扱いについてもルールを設けているはずだ。帰宅時の扱いについて「スリープではなくシャットダウンして、鍵の掛かる引き出しやロッカーに収納する」などのルールを設けている企業もある。こうした離席時や帰宅時のPCの扱いに関するルールを覚えさせよう。

PCの画面を開いたまま離席してはいけない
(撮影:鈴木 朋子)
[画像のクリックで拡大表示]

PCの持ち出しには特に注意

 そして最も注意すべきは、PCの持ち出しについてだろう。業務用PCがノートPCである場合、一度持ち出してしまえば顧客企業のオフィスや出先のカフェ、電車内などで自由に使えるようになる。

 このケースの場合、他者が画面をのぞける点を理解したうえでPCを扱わなくてはならない。社外秘のドキュメントを編集したり、取引先へのメールを作成したりすると、周囲に情報が筒抜けになる恐れがある。

 さらに持ち出したPCを紛失するリスクも発生する。会社のPCを紛失して情報を流出させてしまった事故は断続的に起こっている。2019年9月には外食チェーン事業などを手掛けるゼットンの社員が業務用PCを紛失し、顧客情報最大6万7280件を漏洩させている。ゼットンは遠隔操作によりログインパスワードを変更する対策をしたが、事故発表時点でPCを発見できていなかった。

 流出したデータがどの程度拡散したのかを確かめる術はない。また、事故発生後の対応が適切であっても、記録は残り続ける。

 情報漏洩対策としてのPC使用ルールは、「持ち出す際に記録を残す」「許可も取る」など企業によって異なる。気軽に持ち出せると効率が上がるという側面があるため、ルールがあっても運用や管理がなおざりになりがちだ。新入社員はもちろん、全社員にルールを順守させたい。

 だがルールを守っても、紛失の可能性を下げられてもゼロにはできない。そこで万が一紛失してしまった際の連絡系統や各人が取る対応に関しても、必ず理解してもらっておこう。最初の連絡先が自分という場合もあるので、新入社員と一緒に確認するとよい。

個人所有のPCやメモリーは持ち込ませない

 業務用PCの利用を規定で縛ると、個人所有のPCを持ち込んで使わせてほしいという要望が出てくるかもしれない。個人所有のPCのほうが使いやすい、性能が高い、持ち運びやすいなど理由はさまざまだ。

 社員が私物のデバイスを社内に持ち込み、業務を行う端末使用形態をBYOD(Bring Your Own Device)という。BYODには個人の生産性の向上や端末購入や運用に掛かるコストの削減といったメリットがある。また個人端末を会社のデバイス管理システムに登録するため、管理できない状態で個人のデバイスを使って仕事をする「シャドーIT」という状態を防げる。

個人所有のデバイスの持ち込みルールも確認させよう
(撮影:鈴木 朋子)
[画像のクリックで拡大表示]

 BYODを実施するのであれば、情報漏洩リスクへの対策や運用規定などをしっかり決めて、周知しておく必要がある。特に社内ネットワークへの接続やデータ管理に関しては十分に議論・検討したほうがよい。その準備が整うまではBYODを禁止し、その旨を全社員に知らせておこう。

 USBメモリーなど外部記憶媒体にデータを保管して持ち運び、それを紛失することで情報が漏洩することもある。外部記憶媒体の取り扱いについてのルールを徹底させたい。仮にルールがなくても、会社のデータをむやみに外部記憶媒体に保存しないよう説明すべきだ。

USBメモリーに業務データを入れて持ち歩くと情報漏洩のリスクが高まる
(出所:PIXTA)
[画像のクリックで拡大表示]

勝手な修理や改造を禁止

 社員が正しく使用していても、何らかのトラブルでPCが故障することがある。IT知識のある新入社員は、その原因を突き止めて修理したがるかもしれない。

 ただこれはルール違反になる企業が多いはずだ。会社のPCは情報システム部などによって管理されているため、規定の手順に沿って各部署に報告して指示をあおぐなど、ルールに沿って対応するように命じておくべきだろう。

 管理対象はPC全体ではなく、内部の部品も含まれる。例えばメモリーが不足しているからと自分で買って増設してはならない。あくまでも会社から貸与されているPCで、会社の情報を取り扱っていることを周知徹底させたい。

鈴木 朋子(すずき ともこ)
ITライター・スマホ安全アドバイザー
ITライター・スマホ安全アドバイザー。ソフトウエア開発会社のSEを経てフリーランスに。SNSやアプリなどスマートフォンを主軸にしたサービスを行っており、書籍や雑誌、Webに多くの記事を執筆。スマホネイティブと呼ばれる10代のIT文化に詳しい。All About(オールアバウト)iPhone・SNSガイドも務める。著作は『親子で学ぶ スマホとネットを安心に使う本』(技術評論社)、『今すぐ使えるかんたん文庫 LINE & Facebook & Twitter 基本&活用ワザ』(技術評論社)など20冊以上。