■ オフィスへの入退室を管理する
■ クリアデスク・クリアスクリーンを徹底する
■ 重要情報を一元管理する
■ 保管室への入退室を管理する
■ 重要書類の持ち出しを管理する
■ 重要情報廃棄の基本ルールを徹底する
<オフィス全体の入退室管理>
最終退室者は以下を行います。
- 全員のパソコンがシャットダウンされ、プリンターなど周辺機器の電源が切られているか確認する。
- 全ての出入り口の施錠を確認する。
- 退室時刻と退室者氏名を管理簿に記録する。
<入退室管理(訪問者)>
オフィスに見知らぬ人がいることは、セキュリティ上問題があります。整理整頓が行き届いていたとしても、見ず知らずの人に勝手に情報を盗み見されたり、持ち出されたりすることもあるかもしれません。
- 訪問記録に記入してもらう。
- 名詞をもらう。
- 知らない人には声をかける。
- 訪問した人をオフィスに1人で残さない。
<クリアデスク・クリアスクリーンの徹底>
- 重要書類、スマートフォン、重要な情報を保存したUSBメモリーやCDなどの電子媒体を業務以外のときは机上に放置せず、クリアデスクを徹底する。
- 離席時にはパソコンの画面をロックし、クリアスクリーンを徹底する。
・スクリーンセーバーの起動時間を10分以内に設定し、パスワードを設定
・スリープモードの起動時間を10分以内に設定し、解除時のパスワード保護を設定
・離席時には[Windows]+[L]キーを押してパソコンをロック(Windowsの場合)
<重要情報の一元管理>
机の上に放置した情報は、誰かに持ち去られたり、盗み見られたりする危険にさらされています。関係者以外が見たり、触れたりすることができないように、重要情報は放置せず、一元管理する必要があります。保管場所を定め、作業に必要な場合のみ持ち出し、終了後に戻すようにしましょう。
<保管室への入退室管理>
- 保管室への入退室者を制限する。
- 施錠忘れを防ぐために入退室者と時間の記録を残す。
- 机の上をチェックする。
- パソコン(モニターも)や機器の電源をチェックする。
- 消灯をチェックする。
- 施錠をチェックする。
<重要書類の持ち出し>
ルールについてはP58参照。(MISSION 2-7 紛失や盗難による情報漏えい対策)
<スタンドアロンのパソコンによる管理>
ネットワークを経由した感染と情報流出を防ぐために、最重要情報についてはネットワークに接続をしていないスタンドアロンのパソコンで管理し常時ネットワークには接続しない。
<重要情報廃棄の基本ルール>
媒体 | 廃棄方法 |
---|---|
サーバー・パソコン(リース物件返却・売却含む) |
|
外付けハードディスク |
|
CD・DVDなどのディスク |
|
USBメモリー |
|
重要書類 |
|
これらの方法を企業・組織の情報資産の重要度に応じて組み合わせ、最適な方法をとることが重要です。次ページでは、情報資産の廃棄に関連して発生した近年の重大事案をご紹介します。
<廃棄資産の転売で行政情報流出の危機に>
2019年11月、個人情報を含む神奈川県の大量の行政データが蓄積されたハードディスク(HDD)が転売される事案が明らかになった。
これは、リース契約満了によって県が返却したHDDのデータ消去 (物理破壊)を委託された企業の社員がデータ消去の不十分な状態で一部を持ち出し、ネットオークションで販売したために発生した。
この事案を受け、神奈川県庁は同年12月16日に再発防止検討チー ムを発足。外部に出たHDDは21日までに全て回収し、2020年1月27日に情報流出防止策を決定した。
同月、総務省も「県情報を保存するために使用した情報機器からの情報流出防止策」を発出。
原因特定とデータ抹消措置の作業完了まで県 職員が立ち会い確認するなどの今後の再発に向け た具体的な防止策を明らかにした。