第３回「テレワークセキュリティに関する調査研究会」議事次第

参考

調査票取りまとめ結果について

１．テレワークの取組状況について

(1) 導入当初及び現在の実施状況

＜対象＞

・	育児・介護を行いながら働く従業員。
・	身体に障害を持つ従業員。
・	自己完結的業務に従事し自立的に業務を遂行できる社員。
・	ＩＴ関連業務を行う在宅勤務契約社員。
・	技術サービス部門。
・	全従業員を対象。

＜人数（現状）＞

20名未満	：3社
20名～100名	：2社
100名以上	：3社

＜通信手段＞

VPNによる社内LAN接続	：３社
RASによる社内LAN接続	：３社
e-mail、FAX、電話など	：２社

(2) テレワーク導入の目的

・	多様なワークスタイルの実現。
・	オフィス・スペース・コストの削減。
・	ビジネス機会の創出。
・	タイムリーな情報共有。
・	ＩＴ技術を習得した通勤のできない重度障害者の雇用。
・	個人の時間効率の向上。
・	仕事と家庭（育児・介護）の両立による人材の継続雇用。
・	自宅や出張先、イントラネットに専用線を引けない事業所からのアクセスのため。
・	出産や育児、介護など、さまざまな事情を抱えながらも、意欲的に社会参加を目指すすべての人たちを支援。

(3) テレワークを実施したことによるメリット、デメリット

メリット

デメリット

・	業務に集中できるため、効率が上がり、品質も安定する。
・	アウトプットを確実に出すという意識から、成果達成率が上がる。
・	通勤時間分を有効的に活用できる（自己研鑽、家庭に向けられる時間が増える等）。
・	身体・気持ちに余裕ができ、業務と家庭生活の両面でプラスとなる。
・	お客様との会話時間を増やせる（営業職）。
・	通常では雇用できない障害者の技術者を雇用できる。
・	遠隔地に住んでいる有能な人材を雇用できる。
・	通勤、オフィス経費のコストダウン。
・	アウトソーシング他、各プロジェクト事業の拡大。

・	同僚から休んでいると思われ、周囲の目が気になる。
・	急な打ち合わせ等で計画が立てにくい。
・	自己管理の責任が増加（気持ちの上で）。
・	コミュニケーションが不足する。

(4) テレワーク上の勤務管理方法と勤務評価方法

勤務管理方法

勤務評価方法

・	実施計画及び実施業務内容を提出。
・	始終業時刻・作業場所について連絡。
・	基本的には、裁量労働制の適応（みなし勤務）。
・	通常勤務と同様、社内システムにより実施。
・	報告書、日報、週報、月報等の提出。
・	テレワーク勤務規程を定める。

・	業績評価はアウトプット、行動評価は日々のレポーティングを中心に実施。
・	期首に上司と業務目標を設定し、期末、目標に対する評価を行う（通常勤務と同じ）。
・	責任者が仕事の出来ばえ、クライアントの満足度で評価。

(5) テレワークをうまく行うための工夫、アイデア

・	在宅勤務者にとって、ストレスの無い環境づくり。
・	セキュアかつ高スループットな通信環境の実現。
・	実施計画と勤務評価の適正な管理。
・	上司の積極的な活用（部下への手本、見本）。
・	オフィスに居ないからと言って誹謗中傷はさせない。
・	本人が、どこに居ても常に連絡が取れる状況にする。
・	ペーパーレスの推進　（資料、伝票等は限りなく、ソフトファイルにする）。
・	キャビネットの数の削減（ペーパーレスを推進するため）。
・	ヘルプデスクの設置、活用方法のガイダンス。
・	社員の絆を深めるために年３回の懇親会を開催する。
・	e-mail・電話を活用し、コミュニケーション機会を増やす。
・	実施基準の設定、レビュー、決定プロセスのノウハウを積み、部門（業務単位）に対応できるようにした。
・	対象者および上司にマニュアルを配付し、運用に関する事項を徹底。
・	一定期間ごとに出社し、職場とのコミュニケーションを維持する。
・	各テレワーカーとしての意識改革、教育、スキルアップ。
・	情報の共有。

(6) 今後の方向性（対象の拡充等）

・	拡大に向けて検討中。
・	優秀な人材が確保できれば拡大する。
・	在宅でのプロジェクトマネージャーを育成し、在宅でのプロジェクト業務拡大。
・	セミナー、教育等をとりいれたSOHO支援活動の実施。
・	プライバシーマーク取得の検討。
・	関係者全員の意識レベルの統一化。
・	コンプライアンス遵守の意識浸透に向けた対策。

(7) その他

・	Webアクセシビリティ等の障害者の経験や特性を生かした仕事をするＩＴ技術者集団を目指している。
・	行政におけるテレワークの推進にも期待。

２．テレワーク実施時におけるセキュリティ対策

セキュリティ対策

個人ＰＣ：

・	会社で管理する指定ＰＣを貸与。
・	ＨＤＤ，Ｐｏｗｅｒ　Ｏｎ，ＯＳのパスワードの設定。
・	ファイル暗号化。
・	スクリーンセーバーの利用。
・	ウイルス検出ソフトの導入、定義ファイルの自動更新。
・	パーソナルファイアウォールの導入。
・	機密情報を保管しない（保管する場合は、暗号化する）。
・	社内セキュリティ管理ソフトの導入、定期チェックへの協力、対応。
・	ＯＳ及びアプリケーションのパッチファイル自動更新。
・	データバックアップ。

サーバー側：

・	各種情報へのアクセスは必要最小限の人間にとどめる。
・	情報の暗号化。
・	社内セキュリティ管理ソフトの導入、定期チェックへの協力、対応。
・	機密性の高い電子ファイルは原則PC上には保存させない。
・	アクセスログの採取。

ネットワーク：

・	VPN又はRASを利用した社内網アクセス。
・	ICカードやトークン等によるユーザ認証。
・	Ｆｉｒｅｗａｌｌの設置。
・	ウイルス検出ソフトの導入。
・	アクセス管理ソフトの導入。

人的：

・	セキュリティポリシーに則った環境での実施。
・	セキュリティ教育の実施、署名。
・	セキュリティ担当者への権限委譲（社長の発言より強い）。

その他：

・	セキュリティ度合いの高い仕事は請けない。
・	勤務場所の特定。
・	受発注時の契約締結。
・	契約時の保証人の必須。

３	．テレワーク実施にあたってセキュリティとコスト、セキュリティと操作性のバランスについて

セキュリティとコスト、セキュリティと操作性のバランス

・	セキュリティを重んじるあまり、コストがかかり過ぎても企業の負担になるし、同様にセキュリティを重んじるあまり、操作性が悪くなると在宅勤務者のストレスに繋がるため、それぞれのバランスを考慮する必要がある。
・	テレワークだからセキュリティにコストがかかると言う考えは無く、社内システムのセキュリティにかけるコストと同列的な考え方をしている。
・	操作性に関しては、可能な限り自動化し、使用者への負担にならないようシステムを構築している。
・	通常業務と同様に、セキュリティのプライオリティ、ROI、コストの回収期間を考慮しながら決定している。
・	対象者および業務範囲が限定されているため、テレワークを実施するうえでセキュリティにかかるコストは低い。
・	ウイルス感染、ノートＰＣの紛失・盗難等、セキュリティ面での脆弱性について多少操作性を犠牲にしても対応が必要。
・	セキュリティ：コスト＝７：３　セキュリティ：操作性＝５：５　程度の比率で実施、検討している。
・	必要な対策ごとに優先順位をつけて予算化し、順次対応している。
・	情報公開を前提として活動しておりますので、セキュリティのコストに関しては低めに抑えにしている。

４．テレワークにおける企業情報流出に対する対策について

企業情報流出対策

・	セキュリティポリシーを遵守させるべく、教育・啓蒙活動に励み、企業内情報資産に対するセキュリティ意識の向上を図っている。
・	ハードディスク暗号化、ファイル暗号化etc.（技術対策は項目３を参照）。
・	機密情報は、ＰＣに入れて持ち歩かない(サーバー側の情報を使うようにする）。
・	不特定多数の人のいる場所では、なるべくＰＣを使わない（他人に覗かれないように）。
・	個人情報に関するような仕事は請け負わない。
・	対象者および作業場所を限定し、遵守すべき事項を徹底している。
・	フェイルセーフの考え方の導入。
・	認証強化。
・	別サーバーでのデータ管理、データのメディア保管。
・	各業務管理者（プロジェクト管理者）の設置及び教育。
・	受発注時の契約締結、保証人の必須。

５．テレワーク実施時におけるセキュリティ事故発生状況及び解決策

セキュリティ事故発生状況及び解決策

(1)車上荒らし、紛失

	対応	：	警察への届出、紛失／盗難時の社内規定に沿った手続き。
	効果	：	物は出てこないが、被害にあったＰＣの全ては、セキュリティ対策（HDD暗号化等）が講じられていたため、重要情報の流出は無かったと考えている。

(2) ＰＣ　の紛失事故

発生時の監査、法務とSecurity＆Crisis　Management部門の協業による、調査プロセスを通じ、現場の意識向上すること（上記のセキュリティpolicyへの準拠が徹底していれば、PC紛失は怖くない）。また、現在PCデータの暗号化ツールの検討を行っており、Fileの暗号化によるsecurityの確保も視野に置いている。

６	．セキュリティガイドラインの策定にあたっての意見、提言と事務局の考え方

意見、提言

・	ガイドラインは、大企業から中小企業・ＮＰＯと幅広い団体を対象とし、小規模な団体を想定したガイドラインを策定すべき。
・	発注側が安心して仕事を任せられるよう、在宅勤務をベースとした中小企業・ＳＯＨＯ向けのセキュリティ対策を盛り込んだガイドラインとすべき。
・	ガイドラインは、大枠としての努力目標値として提示し、これをクリアする為に各企業が努力することで、ベンチマークとして利用できるようなものにすべき。技術的対策のみならず、セキュリティポリシー策定や従業員教育等の要素も必要。それぞれのバランスに考慮したガイドラインとすべき。
・	セキュリティに関するガイドラインは既に幾つも公開されているため、今回のセキュリティガイドラインは、テレワークそのものの性質を踏まえ、特徴のあるガイドラインにすべき。
・	テレワークの形態も自宅、テレワークセンター、モバイルと分けてガイドラインを作るべき。
・	インターネット環境を経由してのテレワークが主流になることから、少なくとも、ＶＰＮ（ＩＰsec、ＳＳＬ）等の環境を保証されたアクセス以外はテレワークに使用してはならない旨の記述を盛り込むべき。
・	利用者は、有線・無線の電話網やインターネット上のＶＰＮを通して各社のイントラネットに接続することになり、暗号化などの防衛はするものの、そうしたネットワーク上で、盗聴、破壊、ウィルス混入などの問題が発生しないようセキュリティを確保すべき。
・	性悪説に基づくコントロールが叫ばれているなか、自宅や管理者のいない場所における作業を前提としているテレワークにおいては、テレワーク環境から個人情報データベース等へのアクセスは禁止を原則とすべき。
・	ネットワークの問題ばかりでなくＰＣや媒体の盗難、紛失、廃棄のときのセキュリティ問題も検討すべき。
・	社会全体のセキュリティを確保する観点から、今回のガイドラインを最低限必須なものとして誰でも、共通して実施されるような仕組みも一緒に考えていくべき。

７．その他

その他

テレワークは他者の監視のない中で業務を遂行する手段であるため、技術的問題が解決できたとしても働く人そのもののセキュリティが問題となる。最終的にはテレワーカーの本人の資質の問題となるため、セキュリティ教育を重視する必要がある。