ITmediaに「企業の情報セキュリティ投資とガバナンス」パネルディスカッションの一幕が掲載されていました。
コンピュータセキュリティをやっているものとしても、考えさせられます。
記事中のソフトバンクBBのように全社員のPC操作を監視するという対策は、個人情報保護対策の一部としてすでに一般的になりつつあると思っています。あくまでも目的は事故発生時の追跡なんですが、それによって社員がモチベーションを落として生産性が低下するようでは経営陣にとっても面白くないはずです。
昔から会社で働いている際の社員のプライバシーに対する考え方は問題にはなっていました。例えば、会社のPCで私的なメールを送ったり、趣味のWebサイトをブラウジングしたりということは、会社のリソースを使っているわけですから、本来はやってはいけないという考え方もありました。これには私もそう思いますし、メールゲートウェイやプロキシーサーバでログが記録されフィルタリングされても仕方ないことではと考えています。またそれが原因で懲戒処分を受けても、仕方ないでしょう。
そう考えれば、社員は会社のために仕事をしているのであって、会社のリソースを私的に利用したり、個人の営利目的に使用したりするようであれば、ちゃんとした罰則を受けるべきです。
しかし、そんな硬いことばかりをトップダウンで行うと、当然ながら社員からの突き上げを食らうことは当たり前です。例えば、監視カメラが何台も置いてある職場で働きたいと思う人はそんなに多くはないでしょう。PC操作履歴をログに残しているということであっても、そのログは通常は何も利用されることなく、万が一、個人情報漏洩のような事故が発生した場合のみそのログから犯人探しをするという運用を徹底し、かつその透明性を経営陣は社員に十分に説明しなければいけません。
それでは、かく言う私はどうなんでしょうか。やっぱり会社のPCからYahoo!などのニュースサイトは見てしまいますし、会社のノートPCを家に持って帰って仕事をすることもあります。結局は社員のセキュリティに対する意識を徹底させること、それによってモチベーションが低下しないようなシステム作りとポリシー策定/徹底なんでしょうか。
そういえば、最近は海外でBlogが原因で懲戒解雇されるという話もよくあるようですね。仕事とプライベートをきっちりと区別するということも個人としてしっかりしたいと思います。
