多発する情報漏えい事故を背景に,多くの企業が“従業員のパソコン”に頭を悩ませている。中でも問題なのが,会社の管理が及ばない“従業員所有の自宅パソコン”。特に,多数の子会社や協力会社を抱える大企業では問題が深刻だ。

 2006年だけで4回もファイル交換ソフト経由の情報漏えい事故に見舞われた中部電力も頭を抱える一社。

 中部電力グループでは1月に「Winny」による情報漏えいが,5月には「Share」経由の情報漏えいが,7月には再度Winnyによる情報漏えいが,そして8月には三度(みたび)Winny経由の情報漏えいが起こった。漏えいした情報はいずれも「幸いなことに核物質関連などクリティカルなものではなかった(*)」(中部電力の武蔵原充廣・総務部情報管理・業務グループ長)が,情報漏えいが今後も再発すれば,重要業務データや従業員のプライバシーに関わる情報が流出する恐れも否めない。
(*)核物質関連の情報は他システムよりも「セキュリティのレベルが数段高い」(武蔵原氏)システムで扱われているので,漏えいする可能性は極めて低いという

 過去4回の情報漏えいはすべて従業員の自宅パソコンで発生している。1回目と2回目は中部電力関係会社である中部プラントサービスと中電防災の従業員宅にあるパソコン。3回目と4回目は関係会社の下請け会社で働く従業員宅のパソコンだった。

 中部電力と関係会社30数社を合わせると従業員数は3万人強。これに,それらの下請け会社で働く従業員数を加えると「全部でどれくらいの人数がいるのかは把握し切れない」(武蔵原氏)という。

 中部電力では社内パソコンの管理は実施している。クライアント管理ソフトを常駐させ,許可のないアプリケーションのインストール禁止や,外部記録媒体へデータをコピーする際,自動的に暗号化を施す処理などを行っている。ただ,電子メールのファイル添付だけは「他社とのやり取りがあるので禁止はできない」(武蔵原氏)とする。

 従業員所有の自宅パソコンに対しても注意喚起してきた。そもそも以前から,自宅で業務を行わないよう指導してきた。2005年6月に三菱電機プラントエンジニアリングでWinny経由の情報漏えいが起こり,発電所関連の情報が流出する事故が発生してからは,「自宅パソコンでのファイル交換ソフトの利用は『控えて欲しい』とお願いしてきた」(武蔵原氏)。「控えて欲しい」という表現になるのは,個人所有のパソコンの使い方に対して,利用の禁止命令までは出せないからだ。

 ただ巨大組織である以上,注意喚起だけでは不十分だった。そして前述のように,2006年1月と5月に関係会社で情報漏えいが発生する。

書面提出で自宅パソコンをチェック

 中部電力では1月と5月の漏えい事故直後に,中部電力と関係会社の全従業員に対して,書面による調査をそれぞれ実施した。これは,自宅パソコン内の業務データやファイル交換ソフトの有無,ウイルス対策ソフトの導入状況を調べ,書面で自己申告してもらい,署名付きで会社に提出させるものだ。同時に,業務データの削除とファイル交換ソフトの使用自粛,およびウイルス対策ソフトの利用を求めた。

 しかし,このような指導や管理が行き届くのは「関係会社と,比較的組織がしっかりした1次下請けまでだろう。その先にいる2次,3次委託先の管理までは難しい」(武蔵原氏)のが現実だ。実際,3回目と4回目の漏えい事故は下請け会社の従業員宅で起こった。

 中部電力は8月末から情報漏えい対策としてシンクライアントの導入を始めている。現時点では30ユーザーだが,ニーズがあれば来年度にユーザー数を増やす考えだ。

 ただ,下請け会社までを含めた情報漏えいに対する抜本的な防止策は見つかっていないという。「業務に関する電子データを(2次,3次の)委託先会社に渡さない,というのも一つの方法だが,今の時代,そういうわけにもいかない」(武蔵原氏)。自宅パソコンに対する巨大組織の悩みは当面続きそうだ。

  【修正履歴】当初,「業務データの削除と,ウイルス対策ソフトおよびファイル交換ソフトの使用自粛を求めた」と記述していましたが,「業務データの削除とファイル交換ソフトの使用自粛,およびウイルス対策ソフトの利用を求めた」に修正しました。お詫びして訂正します。(2006年11月2日)