なぜオフィスで働くときよりもリモートワークのほうが、情報漏洩のリスクが高いのでしょうか。主に以下の4つの理由が考えられます。

1. フリーWi-Fiを使う人がいる
2. 公共の場で覗き見されるリスクが高まる
3. パソコンやスマホ端末を紛失することがある
4. BYOD端末でハッキングされる

それぞれ詳しく解説します。

1.フリーWi-Fiを使う人がいる

公共の場ではフリーWi-Fiの利用が便利ですが、リモートワークでは注意が必要です。フリーWi-Fiは手頃な反面、セキュリティレベルが低い可能性があります。そのためデータの送受信の際に、第三者にその内容を傍受されてしまう恐れがあるのです。

リモートワークでは取引先や同僚にメールを送る場面が多く、フリーWi-Fiを使用しているときも、危険性に気づかず企業の機密や個人情報を添付する可能性は高いでしょう。しかし、実は悪意のある第三者がその情報を狙っているかもしれません。

このようなリスクを防ぐため、リモートワーク中のデータのやり取りには、よりセキュリティレベルの高いサービスを利用しましょう。通信内容を暗号化するVPNや、スマートフォンの回線をパソコンに共有するテザリングを使用するのがおすすめです。

2.公共の場で覗き見されるリスクが高まる

日頃オフィスで仕事しているときには気づきませんが、作業中のパソコンの画面はセキュリティの点から無防備です。社外の人が近くにいる環境でのリモートワークでは、周囲から覗き見されるリスクが高まります。

カフェや自宅でリモートワークに取り組んでいるとき、作業に集中していると周りから覗き見されていても気づきません。特に気を付けたいのが、トイレや水分補給などで一時的に席を立つときです。「少しのあいだだから」と油断して、つい画面をそのままにして放置する人も多いでしょう。そのあいだに、第三者から重要な情報を盗み取られている可能性があるのです。

特に機密情報、個人情報を取り扱う業務の人は注意が必要です。自宅でもパソコン画面にロックをかけるか電源を落とすようにしましょう。

3.パソコンやスマホ端末を紛失することがある

リモートワークでは、持ち運びに便利なノートパソコンやスマホが活躍します。しかしこれらの端末は持ち運びやすいからこそ、紛失・盗難のリスクがあるのです。

特に仕事・プライベートの区別なく、外出時にどこにでも持ち歩くスマホは紛失しやすいので要注意です。中に顧客の個人情報などの重要情報が入っていることも多いため慎重に扱わなくてはなりません。飲み会などの紛失リスクが高い場には、重要情報が入ったスマホを持っていかないよう注意しましょう。

またノートパソコンも出先で使用することが多いため、ついカフェなどで作業したあとや電車内などで置き忘れてしまうことがあります。万が一のケースを考えて、リモートワーク用の端末に重要な情報を入れないのも一つの選択肢です。クラウドサービスや社内サーバーなど、外部からアクセスできる場所に情報を置いておけば、リモートワークでもスムーズに作業でき、なおかつ安全に情報を扱えるでしょう。

4.BYOD端末でハッキングされる

リモートワークするビジネスパーソンをターゲットとして、BYOD端末をハッキングする手口が増えています。BYODとはBring Your Own Deviceの略で、個人の私物であるノートパソコンやスマホを業務で使用するスタイルのことです。

リモートワーク時のルールがしっかりと整備されていない企業では、BYOD端末のセキュリティ対策が甘くなっているケースが見られます。企業から貸与されている端末のセキュリティ対策が万全でも、BYOD端末に関して個人任せではリスクを抑えられません。

リスクを軽減するためには、BYOD端末には重要な情報を保存しないなどルールの徹底が必要でしょう。先述のとおりクラウドサービスや社内サーバーを活用すれば、端末に保存せずとも作業時には必要な情報にアクセス可能です。

実際に機密情報を漏洩させてしまったとき、どのような問題が起こるのでしょうか。具体的には以下の4つのリスクが考えられます。

1. 法的問題
2. 社会的な信用の喪失
3. 損害賠償リスク
4. 業務の一時停止

それぞれ詳しく解説します。

1.法的問題

個人情報の取り扱いに関しては、個人情報保護法に定められています。2020年に個人情報保護法が改正され、情報の漏洩に関してさらに厳しくなりました。これに違反して漏洩などの問題が起きたとき、企業及び従業員は法的責任を問われることになります。

企業は個人情報の取り扱いに関して、安全管理措置義務、および従業員に対する監督義務を負っています。違反した場合は6か月以下の懲役又は30万円以下の罰金刑が課される恐れがあります。さらに個人情報保護委員会による報告徴収、立ち入り検査、指導、助言、勧告、命令などの措置もあるため、企業として長く対応に追われるでしょう。

また従業員本人も、一次的に不法行為責任を負うことになります。また被害状況に応じて企業から罰金を求められる可能性もあるため、個々の従業員も情報管理を他人事とは捉えず、真剣な対応が大切です。

2.社会的な信用の喪失

取引先の個人情報などを漏洩させてしまった場合、社会的な信用の喪失も大きな痛手です。現在では一度情報が流出してしまうと、悪意ある第三者によってあらゆる方法で利用されることになります。そのため、どの企業も自社の情報の取り扱いに関しては非常に神経を尖らせています。そのようななかで顧客や取引先各社の情報漏洩を起こせば、企業としての信用失墜は避けられません。

長年苦労してきた顧客が離れることによって、業績の悪化も予想されます。今後新たな顧客を開拓しようとしたときも、過去の情報漏洩の事実が知られれば、マイナスな印象を与えるでしょう。信用を回復するには長い時間がかかるため、企業の存続すら危うくなる可能性があります。

3.損害賠償リスク

情報漏洩を起こした場合、多額の損害賠償も覚悟しなくてはなりません。個人情報の流出に関する損害賠償額は、個々のケースによってかなりの差があります。しかし、一般的には1人あたり数千円から数万円の慰謝料が請求されることになるので、流出した情報の量によっては、かなりの経済的ダメージを負うことになるでしょう。

過去の判例では、流出が発覚した後の企業の対応が慰謝料額に考慮されたケースが多く見られます。すぐに行政に報告して指示を仰ぎ、顧客に謝罪の連絡、誠実な対応をした企業は慰謝料額が比較的低額に留まる傾向が見られました。情報漏洩を起こしたときは迅速な対応を心がけ、間違っても隠ぺい行為は考えないようにしましょう。

4.業務の一時停止

情報漏洩の発覚後は、業務の一時停止による機会損失も深刻です。何らかの理由で情報が流出した場合、当然のことながら企業側は原因の究明を求められます。原因が明らかになるまでは、人的リソースも不足しますし周囲からの批判もあり、通常の業務は停止せざるを得なくなるでしょう。もし大規模な対策が必要になると、それが実行できるまではやはり業務は後回しです。

本来の生産活動ができず営業機会が失われることで、企業は事業運営に多大なダメージを受けることになります。やっと通常の業務を再開できるようになっても、情報漏洩を起こした事実が企業イメージに傷をつけ、当面は売上が伸び悩むことが予想されます。

次に、リモートワークにおける情報漏洩の事例を4つ紹介します。具体的な事例を知ることで、自社の対策を考えるにあたって参考にできるでしょう。

1.マルウエア感染により、個人情報流失

メールに添付されているファイルには、ときとしてマルウエアが仕込まれています。マルウエアとは悪意を持って作動させることを目的としたソフトウエアやコードのことです。

ある企業では、従業員の1人が何気なく開封したフリーメールのファイルにマルウエアが仕込まれていてパソコンが感染しました。パソコン内には1万人以上の個人情報が入っていたため、流出したことによって企業は甚大な被害を受けることになったのです。

従業員は規定どおりにパソコンにウイルス対策ソフトをインストールしていました。しかし感染したマルウエアが最新だったため、ソフトに検知されなかったのです。ウイルス対策ソフトは万能ではないため、フリーメールなどを開封するときには細心の注意を払うことが大切です。

2.公衆無線LANにより、競合他社に情報漏洩

リモートワークの場合、インターネット環境さえあればどこでも作業できる手軽さが、思いもしないトラブルを生む可能性があります。例えば、外出先で公衆の無線LANを利用して作業を片付けようとしたとき、パソコン内の機密情報が狙われるケースもあるのです。

ある企業では、従業員がリモートワーク時に手軽な公衆の無線LANを利用していました。しかし公衆の無線LANはセキュリティ対策が不十分なものが多く、データの送受信の際に第三者に情報が漏れる可能性があります。この場合も、従業員がメールに添付していたファイルの情報を競合他社に傍受されてしまい、企業は大きな痛手を受けました。

リモートワークに取り組む従業員すべてに、こうしたケースで求められるITリテラシーが備わっているとは限りません。企業がリモートワーク時のインターネット利用に関するルールを定め、メンバー全員への徹底が大切です。

3.VPNの脆弱性が狙われ不正アクセスに

「自社はセキュリティ対策しているから安心」という気の緩みは危険です。リモートワークでは通信内容を暗号化するVPNを利用することが常識となりつつありますが、サービスのなかには脆弱でセキュリティ対策として不十分なものもあります。

とあるVPN機器は以前からその脆弱性が指摘されていたにもかかわらず、国内外問わずに多くの企業がそのまま使用を続けていました。結果として、それらの企業をターゲットとしたID・パスワードが盗まれる事例が多発し、多くの企業が情報流出によって甚大な被害を受けたのです。

各種のウイルス対策は大切ですが、それさえ利用していれば大丈夫という妄信は危険を招きます。常に情報漏洩のリスクを意識し、リテラシーを高める姿勢が重要でしょう。

4.端末紛失によるクライアントの機密情報漏洩

テクノロジーを駆使した攻撃以外にも、各従業員のアナログなケアレスミスが重大な事案に発生するケースもあります。ある企業では、従業員が端末を電車内で紛失したことで、多くの取引先に被害をもたらす結果となりました。端末内に取引先の非公開の電話番号などの情報が保存されており、それらがセールスなどに悪用されたことでミスが発覚したのです。企業は取引先からの信頼を失い、長く謝罪対応に追われることとなりました。

リモートワークで使用する端末には、取引先の電話番号など重要な情報を入れておく場面が多くなります。物の置き忘れや紛失や日常でもよくあるかもしれませんが、リモートワークではそれが致命的なミスとなりかねないのです。

これまで見てきた情報漏洩やその後のトラブルを防ぐために、企業側も働く側もそれぞれリモートワークに際して以下の5つの対策をとりましょう。

1. VPNを使用する
2. ウイルスソフトを入れる
3. 離席時にパソコンを置いていかない
4. 覗き見防止フィルターを使用する
5. 定期的に情報セキュリティ研修を実施する

それぞれ詳しく解説します。

1.VPNを使用する

リモートワーク中、外出先でも安全に情報のやり取りをするためには、VPNを使用しましょう。VPN（Virtual Private Network）は、インターネット上に仮想的な専用線をつくる技術で、通信内容を暗号化して安全に送受信できます。フリーWi-Fiや公衆無線LANなどの無防備なネットワークを使用しなくてはならない場面でも、企業や個人の情報を保護できます。

従業員にリモートワークを許可する場合は、企業が組織としてVPNのサービスを契約して従業員に提供するのが理想です。しかし組織全体としてVPNを利用する体制が整っていない場合は、従業員が個人的に契約を結ぶ必要があるでしょう。安全性の高い、信頼できるサービスを選びましょう。

2.ウイルス対策ソフトを入れる

リモートワークで使用する端末は、必ずウイルス対策ソフトを入れましょう。リモートワークではインターネットへの接続が必須です。さらに外付けの記録媒体を使用する機会も多く、通常のオフィスでの作業よりもウイルス感染のリスクが高まります。ウイルスに感染すると端末が正常に作動しなくなったり、端末内の情報が流出したりなどのトラブルが起こるため、あらかじめウイルス対策ソフトをインストールして端末を保護することが大切です。

またウイルスソフトは、定期的に最新バージョンへのアップデートも必要になります。ウイルスは日々進化しているため、旧バージョンのソフトでは防げない可能性があるからです。従業員にリモートワークを認めている企業は、ウイルス対策ソフトのアップデートも必要性も周知しましょう。

3.離席時にパソコンを置いていかない

カフェなど公共の場でリモートワークに取り組むときは、ちょっとした気の緩みにも気をつけなくてはなりません。トイレなどで離席するときは、パソコンをそのままにしておかないことが大切です。

短時間でも、悪意の第三者にパソコン内の情報を見られたり、勝手に操作されたりする可能性はゼロではありません。またパソコンはそれ自体高価なものなので、盗難や紛失のリスクにもつながります。基本的には離席するときはパソコンも持っていくこと、それが難しい場合でも画面にロックをかけるか電源を切るなどのルールを徹底しましょう。

4.覗き見防止フィルターを使用する

リモートワーク中に他の人に情報を見られないようにするためには、覗き見防止フィルターが便利です。除き防止フィルターとはパソコン画面に貼って使用するもので、これがあれば横や斜めからパソコンを見ても表示されている画面が見えなくなります。

公共の場はもちろん、自宅で作業しているときでも家族がちょっとデスクの横を通るといった場面は多いでしょう。覗き見防止フィルターを貼っておけば、人が近づくことに神経を尖らせる必要もなくなり、ストレスなく作業できます。覗き見防止フィルターはインターネットで手頃な価格で購入できるため、リモートワークを始める前に用意しておきましょう。

5.定期的に情報セキュリティ研修を実施する

企業側がとるべき最重要の対策は、組織全体のリテラシー向上かもしれません。定期的に情報セキュリティを学ぶ場を設けて、意識改革に取り組みましょう。

情報セキュリティ研修では、情報漏洩の原因や対策を教えます。リモートワークに取り組むすべてのメンバー、その業務や勤怠を管理するメンバー全員がリテラシーを高めることで、情報漏洩リスクが軽減できるでしょう。このような研修は一度きりの開催では効果が薄く、定期的に行うことで徐々に一人ひとりの意識が変わっていきます。

研修の講師は社内のベテランメンバーに任せてもよいですが、定期開催のため負担が大きくなる可能性もあります。また社内に情報セキュリティを教えられる人材がいない場合もあるでしょう。そのような場合、研修は専門機関に依頼するのも一つの方法です。

一般の中小企業の間でもリモートワークが普及し、従業員が自身の端末を使用して自宅やカフェで作業するシーンが増えています。柔軟な働き方は魅力ですが、企業の管理が行き届かないところでの情報の取り扱いには、常に情報漏洩のリスクがつきまといます。

企業から情報を盗み悪用しようとする手口も日々ハイテク化しており、ウイルス対策ソフトやVPNなどのセキュリティサービスを利用していても安心はできません。リモートワークを認める際には、企業側も従業員の情報リテラシーを高め、ルールを徹底するなどの対策が必要です。また個々の従業員も、情報が入った端末の厳重管理など気を引き締めて臨むことが大切です。

なお情報の正しい取り扱いを学んだうえで、新しくリモートワークの仕事に転職したいとお考えの人にはフルリモート正社員特化型の求人サイト「ReWorks（リワークス）」がおすすめ。豊富なリモートワーク求人のなかから、業種・職種・福利厚生など希望の条件に合ったものがきっと見つかります。リモートワーク求人に興味をお持ちの人は、ぜひご活用ください。