by Gartner
アンドリュー・ウォールズ リサーチVP
石橋 正彦 リサーチディレクター
業務システムへのアクセスからソーシャルメディアの書き込みまで、社員のITにかかわる行動を監視する「デジタル行動監視ツール」が急速に普及している。
現時点では、セキュリティ目的でソーシャルメディア監視ツールを導入している企業は10%未満。ガートナーは、2015年には60%の企業がこうした監視ツールを導入すると予測している。
これまで情報システム部門のセキュリティ担当者は、情報漏洩などの事故を防ぐ目的で、社内のITインフラの監視に注力していた。だが、クラウドサービスやソーシャルメディアの普及、ITのコンシューマライゼーションという潮流のなかで、こうした従来の監視方針は変更を迫られている。
実際、発生した機密漏洩事件のほどんどは内部犯行であり、情報への正当なアクセス権限を持つ社員が関わっているとされる。とすれば、今後のセキュリティ監視は、社員のITシステムに絡むあらゆる行動が対象になるのは必然だ。言い換えれば、優れたセキュリティ管理とは、社員の行動をどれだけトラッキング、分析できるかにかかっている。
ただし、ITツールで社員を監視することは、企業に倫理面や法律面で新たなリスクになり得る点には注意が必要だ。FacebookやYouTube、LinkedInといったコンシューマー向けサービスが新たなデジタル行動監視の対象となることで、リスクは増加している。
ソーシャルメディア上での社員の書き込みを監視することが、企業に有用な情報をもたらすのは間違いない。例えば、ある社員がオフィス内で不適切な行動をとり、それをビデオに記録してYouTubeに投稿する、といった危険な行為を取り締まれる。
さらに、自社についてソーシャルメディア上で交わされた会話を収集することで、例えば情勢不安で暴動が発生した際に、会社の工場や社員に危機が迫っていることを察知したり、ハクティビスト(ハッカーなど)がサイバー攻撃を仕掛けようとしている兆候をつかんだりすることができる。
既に、こうした企業のニーズを満たす様々なデジタル行動監視ツールや監視サービスが登場している。広告企業は、ソーシャルメディア監視を顧客向け標準サービスと位置づけている。
その一方で、監視ツールで集めた膨大な個人情報が、企業に新たなリスクをもたらす。
例えば、集めた個人情報が社外に漏洩したり、セキュリティ担当者が覗き見したりすることが明らかになり、企業の信用を失墜させるリスクがある。会社が社員のFacebookのプロフィールや書き込みから宗教や性的嗜好を割り出せば、国によっては「プライバシーや雇用機会の均等を侵害した」との批難を浴びかねない。
実際、そうしたリスクは既に顕在化している。最近いくつかの企業が、就職希望者にFacebookのログイン情報を要求していたことが判明したのは、その一例だ。
このように、セキュリティ監視について考察すべき事柄は山ほどある。行動監視ツールは、社員の不正行為について確実な証拠をつかむことができる。このことを社員に知らせることで、不正行為を抑止する力になる。だが、こうした通信の傍受や人間の行動監視が、複数の国で法令違反となるのもまた事実である。
