WinnyやShareなどに代表されるピア・ツー・ピア(P2P)ソフトによる顧客情報や社員情報、機密情報などの情報漏えいはいまだに後を絶ちません。これらのP2Pソフトの危険性は今さら言うまでもありませんが、最悪の場合、ハードディスクの中身が全てネットに公開されてしまうことになります。
これまでも大規模な情報漏えい事件では、自宅で使用していたP2Pソフトから情報が漏えいしてしまっています。そして、多くの企業で「対策」を行ってきました。では、その「対策」とは何でしょうか?
多くの場合「危険であることを知らせて使用しないように通達した」「使用していない、という確認書を書かせた」というものです。しかし、そのように「通達」や「確認書」でどれくらい効果があったのでしょうか?
これまでに上記のような対策を行ってきた企業で、同様のP2Pソフトによる情報漏えい事件が起きてしまうケースが少なからずあります。実際に、そのような企業の社員の自宅の私物のPCを検査してみると、そこからは「一般のP2Pソフトの使用率」とあまり変わらない割合でP2Pソフトが検出されるのです。
検査は社員の同意を得て、社員が自らの手で自宅のPCで検査ソフトを走らせて検査します。P2Pソフトの検査をされることが分かっていてなお、上記のような割合で検出されるということは、「通達」や「確認書」では対策効果はなかったということになります。
ここで分かることはセキュリティ対策は社員からは歓迎されていないし、積極的に守ろうとされてはいない、ということかもしれません。もちろん、通達通り、指示通りに対策を実施する企業文化を持っているところもありますが、そうではない企業もたくさんある、ということなのでしょう。
そこで、最近になって急に自宅のPCを検査する動きが活発になってきました。これまでは「自宅のPCなんて検査は無理」とされてきましたが、止まらない情報漏えいを背景に自宅のPCであっても検査する、という動きは急速に広がってきたようです。
プライバシーはもちろん優先されるのですが、プライバシーの保護のために検査はしないという考え方から一歩進んで、社員の同意を得て検査するようになってきました。これは、従来の対策の広がり方と同じように、大企業から実施されるようになってきています。
無論、根強い抵抗感もあるようです。しかし、同業他社がやったのならうちもと動き始める企業が増えており、関連会社、取引先へと広がっています。
