- ベストアンサー
どうしてIDを貸してはいけないのですか?
自社のイントラネットの事です。 買い物をするサイトではないので、誰のIDで入ろうと別にかまわないじゃないか。IDを貸すのは何故そんなに悪いのか? と主張する人が少なからずいます。 しかも困った事に、部長などのわりと権限のある人です。 インターネットに馴染みがない世代でもあるので、そのせいかもしれません。 当然イントラですから、社外秘の情報がありますし、顧客情報もあります。 部長クラスだからこそ公開している情報もあります。 ですが、彼らが言うには「悪さをしそうな人にはIDは貸してない」「(貸した人は)そんな事するような人じゃない」 と、万が一、もしかして、を全く考えてくれようとしません。 むしろ、私が「他人を信用できない悲しい人間」扱いです。 こういう方々に、パスワードを書いたポストイットは貼るな。 IDを部下や派遣に貸すな。 などなど、啓蒙していきたいと思うのですが、どうすればいいでしょうか? 「IDを貸すことによってこんなにひどいデメリットがある」という主張じゃないとダメか?と考えていますが、顧客情報の流出くらいしか思いつかなくて、結局「そんな人じゃない」で終わってしまいそうです。 よろしくお願いします。
- -melissa-
- お礼率82% (48/58)
- その他(インターネット・Webサービス)
- 回答数10
- ありがとう数11
- みんなの回答 (10)
- 専門家の回答
質問者が選んだベストアンサー
デメリットだけを謳う手法は、実際にはあまり効果があるとは言えません それよりも「責任は誰にあるのか?」を明確にする方が現実的かと思います つまり 「IDを放置して、または他人に貸して万が一流出した際はあなたが責任を問われますよ」 という風に持っていかないと、あまり良い効果は得られません 今のところ、そういう事件も事故(?)も起きていないようですが、いざ起こった際に 自分に非を問われるとは誰も考えておらず「そんなバカな?何で私が悪いんだ?」 「システム管理の体制が悪いんだよ!」とか言い出しかねません 個人情報の流出は故意に行なわれる場合と、気づかず盗まれる場合も可能性も在ります 盗まれた事例の場合でも、自分に非を問われると言うことが理解できていないので 誰もが不用意にパスワードを他人に教え、重要書類は机に放置したままになります そこを突いてみるのも手だと考えます。 それと情報流出の事例や裁判での判例を、弁護士などに相談して提案書形式で作成し 社員に徹底して理解させるべきです 現実にかなりの判例が挙がっていますが、個人で調べられるレベルではありません 名刺の管理や携帯電話のアドレス帳、卓上においてある会議資料、どんなものでも 流出した際には責任取ってもらいますよと、思い知らせなければ理解出来ない事です
その他の回答 (9)
- yoshi-thk
- ベストアンサー率38% (2059/5283)
「IDを貸す事が、名義貸しと同じ事」と言う事を理解させた方がよいです。 「ID」というものが、理解してない人が多いのだと思いますが、他の言葉に置き換えると「名義」という言い方をしてもよいです。 不正な行為をする(オレオレ詐欺)の場合でも、銀行の口座の名義を他人に売って、 その結果、売り主は銀行を騙した「詐欺罪」で検挙されています。 ですから、「IDを貸す」という事は、「他人に名義を貸しているのと同じ行為」で、 「そのIDが悪用されたら、責任をIDを貸した本人が負う」という事を、説明した方がよいです。 今の言葉が理解出来ないのであれば、昔使っていた言葉を使って説明すると分かってくれると思います。 その事をシステム管理の担当者以外が、理解してないのでしょう。 逆を言えば、システム管理担当者もIDについて、本当に理解して無いとも言えます。 まずは、システム管理担当者の知識や遵法についての理解を深めて、それから、トップ等に説明をしてください。 システム管理担当者が、きちんと知って説明をすれば、納得出来るはずです。
お礼
なるほど「名義」はわかりやすいですね。 >システム管理担当者が、きちんと知って説明をすれば、納得出来るはずです。 仰るとおりですね。己の勉強不足を痛感いたしました。 ありがとうございます。
補足
みなさん回答ありがとうございました。 いただいた回答を参考に、さりげなく上司に話してみましたが、「万が一の時、責任回避ができるような対策はとりたいが、万が一に備える事はしたくない」との事でした。 あまりの逃げっぷりに嫌気がさしましたが、組織なんてこんなものでしょうかね・・・。 一人で出来る事をとりあえずはじめてみます。 ありがとうございました。
- a-saitoh
- ベストアンサー率30% (524/1722)
基本的には,質問者様の権限を越えていると思います. 他の方の回答にあるような危険性を当人にちゃんと告知しておけばいいでしょう. 証拠を残すために,紙で.できれば,「蒸気の警告を読みました」という署名を貰っておきたいところです. それで何か不祥事が起きたら自業自得です.質問者様とすればやるべき事はやったが,上役に強制は出来る権限を持たされていない以上,どうしようもなかった,という証拠を残して自己防衛しましょう. 部長より上の会社の上層部が(CIOとか)ちゃんと理解して,強制的な指導力を発揮する以外に解決できないように思います. 「我が社でも情報セキュリティポリシーを作りましょう」みたいなことを上層部に吹き込むのが言いように思います. そうそう質問者様の会社が大きな会社だったら,IDを他人に貸しているようではJ-SOX法に定める内部統制が出来ていないという事になってしまう,というのが良い説得材料になるかも.
お礼
ありがとうございます。 システム部員は全員、IDの貸与はダメだ。と思ってはいるようですが、いざ行動となると進まないようです。 私一人でも出来る事から何かやろうと思ったのですが、やはりトップダウンのアプローチが必要でしょうか。 とりあえずSOX法をちらつかせて話をして見ます。 ありがとうございました。
- mobilekame
- ベストアンサー率21% (50/236)
ISO27001 情報セキュリティの内部監査員の教育を受けさせましょう 2日間程度の通いでそこいらの認定会社でやっていますよ 帰社したら発言が180度変わると思いますよ 私の会社では、万一部長が外から電話を掛けてきて スタッフの女性に「わしのパソコン立ち上げてくれ」 「お客さんのメールを見てくれ」 「パスワードは・・・」なんてこと言ったら断られますよ 周りの社員の啓蒙も大切ですね
お礼
なるほど。ありがとうございます。 まさに今の状況にぴったりという感じですね。 うちの会社も早くmobilekameさんの会社のようになりたいです。 ありがとうございました。
- mot9638
- ベストアンサー率49% (434/883)
こんにちは 「日本版SOX法」、ご存知ですか? (金融商品取引法において上場企業に義務付けられた 財務報告に係る内部統制の構築と内部統制報告書の提出) この法律で上場企業は内部統制の構築が法律で義務付けられます。 (財務報告に係る部分。2008年度から。) この「内部統制」で重要視されるものの1つに 「アクセスコントロール」があります。 詳しくは書きませんが、企業はまず#1さんのおっしゃるような 「セキュリティーポリシー」のようなものを作らなければ なりません(整備)。 それに伴って全ての役職員が行動していることも求められます(運用)。 >IDを貸すことによってこんなにひどいデメリットがある 御社が上場会社であれば、この状態では「内部統制に重要な欠陥がある」 という報告書を経営者は内閣総理大臣宛に出さなければなりません。 (金融商品取引法24条4項4) 報告書の内容には監査法人の監査が入ります。 このような状態で「問題なし」と報告書に記載した場合、虚偽記載に なりますので、経営者は5年以下の懲役もしくは500万円以下の罰金 又はその両方です。(「会社」ではなく「経営者」に直接罰則がかかり ます。金融商品取引法197条2項2) もし、御社が上場企業でなかったとしても、このような「内部統制の 状況」の企業とは「上場企業」はまず取引をしてくれません。 取引先の内部統制に不備があり、結果として自社の内部統制不備に つながった場合、責任は自社にあるからです。 内部統制は「経営者が構築するもの」です。 まずは経営者に「内部統制の重要性」を理解してもらい、 このような行為は「企業として不可である」という自覚を全役職員に 徹底してもらう「トップダウン型」が内部統制構築の基本になります。
お礼
SOX法、必死に対応中です。 恥ずかしながら「アクセスコントロール」は知りませんでした。 早速勉強させていただきます。 トップダウンからアプローチできれば最良です。 私一人でどれだけできるかわかりませんが、上層部に啓蒙活動の必要性を訴えていきます。 ありがとうございました。
- k-josui
- ベストアンサー率24% (3220/13026)
人を信用してもいいですが、万一IDを貸した人に悪用されたら、あなたも懲戒解雇されますよ、世間ではよくある話です。と脅しては? 実際よく聞く話ですよね。
お礼
そうですね。 幸いな事にうちの会社では現在まで、IDを貸した人全員がとても良心的だったので大事に至っていません。 今までがラッキーなんだと気づいてくれるといいんですが。
- akira212
- ベストアンサー率24% (75/308)
これは非常に難しい問題ですよね。 正直、何を言っても納得してくれない気がします。 まず、「顧客情報の流出」を全面的に押し出すしかないですね。 顧客情報。個人情報保護のお話を、しっかりされるべきです。 そもそも個人情報は、担当者以外に”簡単に見える”位置に置いてはいけないものです。 ご自身が個人情報の主だとして考えてもらってください。 例えば、お店の会員になった。そのお店の中の誰もが簡単に見える位置に、自分の情報が見えるのっていやじゃないですか?と。 その人は「いやじゃない」と答えるかもしれませんが、今の時代「いやだ」と答える人のほうが多いと思います。 パスワードを書いたポストイットを貼っているとの事なので、外部の人間が来たときに、もって行かれるかもしれません。 泥棒が入ったときに、PCの中の情報だけ持って行かれてしまったら? ウィルスを入れられたら? いくらでも、自分のしらない所で、情報は流出してしまいます。 その時に、簡単にIDを貸していた(人によっては、ブラウザ等にIDとPWを記憶させているかもしれません)、PWを貼っておいた責任は逃れる事はできないでしょう。 その貸された人とは関係ないところで情報が流出した場合、貸した人は始末書くらい書かなければいかないでしょう。もっと大変な事になるかもしれませんし、貸した相手にも迷惑が掛かる行為です。 貸す人、貸された人が悪い事を一つもしないで、情報が流出してしまったときに、お互いが、お互いの立場を危うくしてしまう危険性等でも、お話したらどうでしょうか?
お礼
そういう方々の多くは、パソコンを「業務上仕方なく使っている」程度の人が多いので、パソコンで何が出来るかを考えないようです。 だから、ウィルスだ漏洩だと言っても、ピンとこないのかもしれません。 仰るとおり、私も全員に納得してもらえるの無理・・・と思っています。 なるほど始末書をちらつかせるのは効果的かもしれませんね。 ありがとうございます。
- outerlimit
- ベストアンサー率26% (993/3718)
IDを呈示することは、権利と責任を明確にすることです 権利は、そこにアクセスする権利です 責任は、そのアクセスに関して発生した事態に対する責任です IDを貸すと言うことは、権利を委任することです、しかし、責任は移動しません、どのような事態が発生しても、責任はそのIDの保有者です ですから実質的に 印鑑証明付きの白紙委任状を発行したのと同等です >悪さをしそうな人にはIDは貸してない・・ 印鑑証明付きの白紙委任状を渡す覚悟があるかを 再確認なさると良いでしょう それでもIDを貸したいのならば、自己責任です、無期限無制限の責任を負うことを(免責無しで)確約してもらうしか無いでしょう (何かあったとき、必要になる全費用は個人で負担する その時になって泣き言は言わせない)
お礼
>ですから実質的に 印鑑証明付きの白紙委任状を発行したのと同等です とても重みがある言葉ですね。 これなら効果がありそうですね。 ありがとうございます。
- saxifrage
- ベストアンサー率17% (3/17)
情報漏えいなどの事故が起きたときにどうなるか考えてみてください。 IDを借りた人が事故を起こしても私はやっていないと言ったらどうなると思いますか。 お客さんを失うどころか会社が倒産するということもありえます。
お礼
なるほど。参考にいたします。 ありがとうございました。
- umeume7777
- ベストアンサー率19% (167/844)
「どーして?」「なんで?」 小学生に教えると思って行くしかないでしょうね。IDやパスワードの重要性を。 あとはIDによって閲覧権限を分別している。とか 社内セキュリティー上の問題。とか 最後の手段は守れないのであれば、システム管理者の権限で社内システムを使わせない。とか いずれにしても「社内システム規定」のようなものがあればいいのですが。 >そんな人じゃない という保証もどこにもない。
お礼
>いずれにしても「社内システム規定」のようなものがあればいいのですが。 一応あるんですけど、誰も見てないみたいです。 あと、決まりはあるんですが罰則が無いので、規定などどうでもいい人にとっては無いにも等しいというか。 罰則に関しては「そこまでしなくても」という意見があり、追加できないでいます。 >>そんな人じゃない >という保証もどこにもない。 ですよね。 これをどうやったら解ってもらえるか・・・
お礼
責任ですね。確かにそのほうが効果がありそうです。 問題の責任を問われるという方向で説明資料を作成してみます。 >今のところ、そういう事件も事故(?)も起きていないようですが 実際に問題が起きないと危機感を感じないんですよね。 これは情報セキュリティだけの話ではないですが。 判例入手の方法など、とても参考になりました。 ありがとうございます。