2020年10月(第137号)
パソコンをはじめとしたITの導入により業務の効率が飛躍的に向上した半面、情報漏洩や情報消滅等のリスクを会社は負うようになりました。そのリスクの原因の一つにシャドーITがあると言われています。今回はシャドーITの概要と会社の対処法を紹介します。
シャドーITとは
シャドーITとは会社が管理できていない機器やソフトウェアを使って業務を行うことを言います。従来は業務に使用するパソコン等の機器は高額であったために会社が用意して会社が管理することが原則でした。ところが、パソコンやスマートフォン等の情報機器の低廉化とソフトウェアの高性能化、ネットワークの発展とが相まって、社員が使い慣れている個人所有の機器を業務に使用できる環境が整ってきました。更に働き方改革で残業時間が削減されたことやリモートワークの発展もシャドーITの浸透に拍車を掛けています。
業務の効率化だけを考えると好ましいことですが、実態が把握されていない分だけ情報漏洩等のリスクが高まる恐れがあります。
シャドーITの事例
定義にもよりますが、会社は次のような行為をシャドーITとして認識する必要があります。
- 個人パソコンの会社ネットワークへの接続
- フリーソフト等のダウンロードおよび使用
- USBメモリーによるデータの受け渡し
- 無料クラウドストレージサービスの利用
- スマートフォンの会社パソコンとの接続
- チャットアプリの業務連絡利用
シャドーITによるリスク例
- 社員がUSBメモリーに顧客リストをコピーして持ち出した。
- 業務連絡を会社のグループに返信したつもりが、知人グループ宛に送ってしまった。
- 個人のパソコンを会社のネットワークに接続したところ、そのパソコンがウイルスに感染していた。
リスクの低減対策
社員は業務効率を上げるための工夫としてシャドーITを行っている訳で悪意はありません。そのため、やみくもに禁止して違反者には罰則を課してもモチベーションや業務効率の低下を招くだけで会社のためになりません。次の対策が推奨されています。
- 実態調査:アンケートや聞き取りでシャドーITのニーズや利用状況の把握をします。このとき、調査の目的を説明することが大切です。
- ルールの制定と運用:可能な範囲で個人の機器やソフトは使わない仕組みを作ります。また管理者の選任、新規の機器を接続やソフトを導入時の承認手順等を定めます。
- 教育:シャドーITが会社のリスクになりうることを繰り返し教育します。
- システム導入:リスクの高いシャドーITに愛しては費用をかけてもシステムを導入します。例えば、USBメモリーによるデータ漏洩がリスクであれば、USBメモリーの接続を制限するシステムの導入が考えられます。
まとめ
シャドーITが行われる原因は社員による業務効率化への熱意や工夫です。会社の大小を問わず社員の熱意を削がないで、かつ業務効率を落とさない仕組みを探索する必要があります。