クリアデスクとは、オフィスなどの不特定多数の人がいる所ではデスクから離席する際にデスク上に業務に関する書類を放置せずにキャビネットなど鍵のかかった場所に保管する方針の事を言います。英語ではclear deskとも言いますがclean desk(デスクをきれいに)と言う場合があります。
オフィスの場合は「不特定多数の人」ではなく社員だけだから大丈夫でしょう?と思っている人も多いですが、そうではありません。いかに厳重に入館が管理されたオフィスでもクリアデスクを行ってデスクに資料を放置する事を防ぐ必要があります。その理由として以下のようなケースが考えられます。
- 社員の内部不正による情報の搾取
- 外部ベンダーやその他の入館者による情報の搾取
- 資料の紛失
社員の内部不正による情報の搾取
以前は性善説に基づいたセキュリティ対策が考えられていましたが、昨今は社員による内部不正が多発していませうので、性悪説に基づくセキュリティ対策が必要とされています。また、社員の場合は会社の情報にアクセスしやすい環境にありますので、内部不正を働く事は非常に簡単です。仮にあなたが顧客情報をあなたのデスクに放置した状態で離席した後に、他の社員がその顧客情報を盗んだとしましょう。その社員はお金に困っていたので顧客情報を名簿屋などに売ってお金に替えようとしたのでしょう。もちろんその社員は不正行為を行ったので、懲戒解雇は逃れる事はできませんが、あなた自身も大切な顧客情報を適切に保管しなかったという責任が発生します。
ですので、会社の情報やお客様の情報を守る事に加えてあなた自身を守るためにもクリアデスクを実施する必要があります。
外部ベンダーやその他の入館者による情報の搾取
オフィスには社員以外にも外部ベンダーや清掃員・警備員などが出入りします。海外で頻繁に発生しているのは産業スパイです。ライバル会社の情報を収集するために、スパイを外部ベンダーや清掃員・警備員としてそのライバル会社に出向かせて、資料やデータを盗むのです。
映画でよく見る光景ですが、実際に産業スパイの事例は多く、「スパイ」という大げさな言葉まではいかなくても、その会社に侵入さえすれば比較的簡単に資料やデータを取得する事が可能な環境が多いです。それは多くの会社がクリアデスクを行っていないからです。
資料の紛失
資料の紛失は以外と面倒です。なぜなら原因がわからないので、調査に時間がかかるからです。例えば、内部不正であれば原因ははっきりと判明して、対策も実施できますが、資料が紛失した場合は本当に紛失したのか、内部不正の可能性はあるのか、など多くのシナリオを基に調査を行う必要があるからです。
オフィスで資料を紛失するパターンとしては、デスクに資料を放置してたため整理整頓ができずに、他の資料に紛れ込んでしまったり、間違って廃棄・破棄したり、他の社員が間違って持って行ったり、という事が考えられます。上記のような紛失を防ぐためにも、資料は常に整理整頓して、デスクに放置せずに決まったキャビネットやフォルダに保管しておく必要があります。
クリアスクリーンとは
クリアスクリーンとは、オフィスなどの不特定多数の人がいる場所ではデスクから離席する際に、パソコンをログオンした状態にせずに必ずロックをかけてから離席する方針の事を言います。
あなたがパソコンをロックせずに離席した場合は、誰でも画面に表示してあるデータを閲覧する事が可能です。もっと大胆な行為を行う悪意を持った人がいた場合は、あなたのIDを利用して他人がパソコンを操作する事が可能になります。つまり、あなたが離席している間にあなたのパソコンで様々な不正や悪意のある行為をあなたのIDを使って行う事が可能となるのです。例えば、
- データを意図的に削除
- データを改ざん
- データを外部に転送
- 脅迫状メールの送信
- 悪意のあるプログラムのインストール
- バックドアの設置
- パスワードを勝手に変更
などの悪意のある行為・攻撃が可能となってしまいます。これらの攻撃はあなたのIDで行われますので、一番最初にあなたが疑われてしまいます。もちろん、詳細な調査を行えばあなたの行為ではないと証明する事ができると思いますが、あなたに疑いの目がかけられてつらい思いをしなければなりません。ですので、このような悪意のある行為に巻き込まれないためにもクリアスクリーンを実行する必要があります。
ISMSとプライバシーマーク
ISO27001の付属書A管理目的及び管理策には「A.11.2.9 クリアデスク・クリアスクリーン方針」という項目があり、管理策として「書類および取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用しなければならない。」と記載されています。ですので、ISMSとしてクリアデスク・クリアスクリーンが求められています。
また、JISQ15001の「3.4.3.2 安全管理措置」に「II 物理的安全対策管理 5.クリアデスク、クリアスクリーンを実施」との要求事項がありますので、プライバシーマークにもクリアデスク・クリアスクリーンが必須となります。