新たにテレワーク(リモートワーク)を導入しようとする事業者や、新型コロナウイルスの感染拡大を受けて急いでテレワークを導入したものの、導入について十分な検討をする時間がなかった事業者向けに、テレワークに伴って生じうる人事評価・労務・法務・情報セキュリティに関する問題点を簡単に記載致します。今回は、テレワーク導入にあたって情報セキュリティのギモンである計画策定のギモンについて、情報セキュリティ対策を講じる上で優先的に対応すべき分野をどう判断すればいいのかについてご紹介致します。
テレワーク導入の検討枠組
テレワークの導入に際しては多方面にわたる県都が必要になります。また一般に、通常時とは異なる取り組みを行う場合、人的・技術的なリソースを十分確保できず、優先的に取り組むべき領域とそうでない領域を区別しなければならないことが往々にしてあります。そこで、「テレワークの情報セキュリティ」についての検討を開始するにあたり、検討の優先順位を明確にしておくことが今後の検討の助けになります。
ここでは、BCP(事業継続計画)という考え方を参考に、「会社の事業継続する上での影響度」を基準に優先順位を判断することを提案します。また、BCPを検討する上で参考する資料として、内閣府発行の「事業継続ガイドラインーあらゆる危機的事象を乗り越えるための戦略と対応ー」(以下、「BCPガイドライン」)を紹介します。「BCPガイドライン」はその目的を以下のように説明しています。
本ガイドラインの目的は、事業継続の取組、すなわち事業継続計画(BCP)を含めた事業継続マネジメント(BCM)の概要、必要性、有効性、実施方法、策定方法、留意事項等を示すことで、(中略)事業継続能力の向上を実現することである。
(中略)本ガイドラインが示すBCMは、企業・組織の事業(特に製品・サービス供給)の中断をもたらす自然災害を対象としているサプライチェーン途絶など、事業の中断をもたらす可能性がある。
(出典:内閣府「BCPガイドライン」)
BCPの基礎知識
BCPとは
BCPとは、「不測の事態が発生しても、重要な事業を中断をさせない、または中断しても可能な限り短い期間で復旧させるための方針、体制、手順等を示した計画」(「BCPガイドライン」)を言います。
日本でも新型コロナウイルスによる感染症の進行によって一気にテレワークが広がりました。テレワークを導入する場面は何も災害時に限定される訳ではありません。しかし、テレワークが何らかの強い必要性に基づいて、厳しいスケジュールの下で導入されるケースが多いこともまた事実です。そのような制約が強い状況においては、BCPの考え方が参考になります。
BCPの検討手順
「BCPガイドライン」では、「方針の策定」「検討・分析」「事業継続戦略・対策の検討と決定」「計画の策定」「事前対策及び教育・訓練の実施」「見直し・改善」の順で検討を行うこととしています。
このうち、「方針の策定」に関する検討が終わった後、「検討・分析」の一要素として行われるのが事業影響度分析です。
なお、BCPそのものを扱うことを目的としているわけではないことから、この「事業継続マネジメントの各プロセス」に沿って解説は行いませんが、BCPが未検討の場合にはテレワークの導入と合わせて検討を行うことをおススメ致します。
事業影響度とは
BCPではBIA(事業影響度分析)という分析を行います。企業・組織として優先的に対応すべき重要業務を選定することがBIAの目的です。「BCPガイドライン」では、以下のように事業影響度を考える上での視点を例示しています。
- 利益、売上、マーケットシェアへの影響
- 資金繰りへの影響
- 顧客の事業継続の可否などへの影響、さらに、顧客との取引維持の可能性への影響
- 従業員の雇用・福祉への影響
- 法令・条例や契約、サービスアグリーメント(SLA)等に違反した場合の影響
影響度の判断
例えばある企業では、単純に利益の大きな事業Aを利益が小さな事業Bより優先することがあるかもしれません。また、医療系事業Cとエンターテインメント系事業Dを同時に営む企業が、災害時における社会からの要請(顧客への影響)を踏まえて医療系事業Cを優先することがあるかもしれません。
ここで大切なのは、トップの意思決定に基づいて判断を行うことです。基準がないと、現場は毎回「どのような基準で判断すべきか」から議論しなければいけません。トップの意思決定が存在することで物事の優先関係が明確になり、スピード感を持って検討を進めることが出来ます。
BCPの留意点
BCPはそれだけで一冊の本が書けてしまうほどの一大分野です。「影響度の観点を網羅的に評価しよう」と考えていてはいつまで経っても次のプロセスに進むことが出来ません。完璧を追い求めるのではなく「自社として」優先すべき観点は何かという視点で選定を行い、継続的に見直しを行っていくのが良いと思います。
コラム
管理部門が技術部門と連携するために求められること
テレワークの情報セキュリティ対策を実施する上では、「企業の管理部門」と「企業の技術部門」が密接に連携することが不可欠です。そして、このような状況下で「会社の技術部門」と連携していくために「企業の管理部門」に求められていることは、検討が必要になる各論点についての
(1)全体像の把握
(2)基礎概念の理解
(3)失敗しやすい点
上記3つの理解です。
まとめ
上記までにご紹介致しました通り、テレワークを実施については情報セキュリティについて頭を抱える方も多いのではないでしょうか。企業はテレワークの情報セキュリティへの対応が必要となります。テレワークの推進には、就業規則等の制度面だけでなく、従業員のITリテラシー向上も必要です。