カネ、ヒト、時間いらずのIT内部統制--第3章：誰がファイルを読み書きできるのか（準備編）

考える以上に難しい情報の統制

　IT関連に割ける予算が少なく、専任の管理者も置けない中小零細企業にとって、社内のすべての情報に目を光らせ、もれなく見張るのは想像以上に難しい。さらに、客先に提示した情報など、一度社外に出してしまった情報は、社内からコントロールすることはできない。それゆえ、守る情報のレベルを決めて、レベルに従った管理基準を設けることが必要となる。

　情報の守秘レベルに関しては、経営陣が全社の取り組みとして、あらかじめ、何を秘密として、何が公開可能なのかを決めておくとよい。小規模な企業であれば、あまり細かくする必要はないが、少なくとも「公開」「社外秘」「部外秘」の3段階は必要だろう。これらの判断は、経営陣から情報管理担当の役員を選出して決めるべきである。何を秘密とするかの判断は、経営に深く携わっていないと判断できないからだ。

　特に、部署を横断したプロジェクトなどで、資料を作る時には要注意だ。全社を巻き込んで資料を完成させたあと、情報担当役員が、慌てて「この資料は部外秘だ」と認定しても意味がない。その時点で、すでに全員が内容を知っているのでは笑い話にもならない。理想的には、プロジェクトがスタートする段階で、情報担当役員がプロジェクトの秘密レベルを明らかにし、周知しておくべきだろう。

「共有」しないファイル、するファイル

　絶対に漏らしたくない情報、たとえば、給与や会計など社内外で秘密にする情報を扱う場合、その保管場所としておすすめなのは実は「ノートPC」である。ノートPCであれば、使っていない時には、カギの掛かるキャビネットにしまっておける。給与、会計の担当者だけがノートPCを使うためのパスワードを知っており、キャビネットのカギは別の管理者が保管するという形にしておけば、実は、結構高いセキュリティレベルを確保できるのである。

　もちろん、オープンなネットワークへの接続は極力避け、共有機能はオフにしておく、机上で利用する際もケーブルワイヤーなどで固定しておき、社外への持ち出しは厳禁とするといった運用ルールも併用するべきである。