近年、日本企業による海外進出が積極的に進められています。しかし、適切なITガバナンスの整備がされていなければ、セキュリティリスクが顕在化し、事業に悪影響を及ぼす可能性があります。このブログでは、海外拠点増加に伴うセキュリティリスクについて説明しつつ、セキュリティ課題の解決方法ついて詳しく解説していきます。
日本企業の海外進出が増加している
2020年は新型コロナウイルスが世界的に流行したため、これまでの傾向とは異なる結果になると予想されますが、外務省が公表するデータによれば、日本企業の海外進出は例年増加傾向にあります。
現地法人化された日本企業や本邦企業など、形態に関わらず海外の日系企業の拠点が増えており、特に顕著なのはアジアです。海外進出した日本企業の約7割がアジア進出といったデータが得られています。北米や西欧も進出が増えているエリアではあるものの、アジア進出の増加割合が数倍高い状況です。
日本企業の海外拠点増加に伴う情報漏えいリスクとは
拠点を外国に置く企業の増加により、情報漏えいのリスクが懸念されています。具体的にどんなケースでリスクが懸念されるのでしょうか。
ファイル共有対策の未整備による情報漏えいリスク
重要な情報が含まれるファイルを共有する場合には、情報漏えい対策が大切です。海外拠点を網羅した統合ファイルサーバーを整備しているような企業は希有で、ファイルのやり取りをメール添付で行っている企業も珍しくありません。メールに対して特別なセキュリティ対策を施していなければ情報を盗聴される可能性や、誤送信による漏えいも起こり得ます。そのため製品やサービスなど、機密情報のやり取りをメールで行うのはセキュリティ上の懸念があります。
海外拠点の従業員からの情報流出リスク
情報が流出する危険は、人的な要因も関係しています。従業員に秘密保持義務が順守されていないと、情報流出、情報漏えいリスクとなり得ます。
例えば、従業員が個人保有のスマートフォンで現場の様子を撮影していた場合、退職後に社外に情報を流してしまうこともあるでしょう。海外では、日本と慣習が異なるだけでなく、転職も活発に行われています。従業員の転職等も想定した上で、退職後の秘密保持義務の策定や、処遇改善による引き止めを検討しておく必要があるでしょう。秘匿性の高い情報が入ってくる現場では特にその対策が欠かせません。
また、悪意がなくとも他社の人間と何気ない会話の中で秘匿性の高い情報を喋ってしまうこともあるでしょう。社外に出してはいけない情報を持つ従業員には、セキュリティ上の意識を高く持たせる、機密性の高い情報を与える社員を限定するといったことが有効です。なお、社内の従業員同士の会話であっても、その場に社外の人間も多数いるような場合には、情報漏えいの可能性を考慮して会話する必要があります。
海外拠点では現地企業をM&Aすることもあり、日本の従業員が派遣されるとも限りません。また、取引の際に仲介人などを間に挟むこともあります。現地のスタッフや仲介人が日本のセキュリティ基準や慣習を理解してないなければ、情報流出、情報漏えいに繋がるでしょう。事前に現地のスタッフや仲介人と十分なコミュニケーションをとり、取り扱う情報の重要性をしっかりと理解してもらう必要があります。
海外拠点の情報漏えい対策の課題
重要な情報が漏れないようにするための具体的な対策は、その事例に応じて多種多様です。しかし、個別具体的な施策を講じるためにも以下の課題をクリアすることが大切です。
セキュリティ境界が変わってもポリシーが見直されないままになっている
企業におけるクラウドサービスのビジネス活用は、今では一般的なものとなりました。昨今では、セキュリティの観点から「ゼロトラスト」の考え方が重要視されています。これは、社内ネットワークを安全なものとして捉えるのを止め、内部においても全トラフィックに対し検査・ログの取得等を行おうとするアプローチを意味します。
実際、クラウドサービスの利用数やテレワークの増加、および内部不正や操作ミスによる情報漏えいが増えているといわれています。セキュリティの境界や、強化すべきポイントも従来とは変化しており、実情に適用したセキュリティポリシーの策定をしなければなりません。しかし、ポリシーの見直しがなされず、そのまま運用している企業が少なくありません。特に、企業が海外に拠点を設置した場合は、見直しの必要性が高いといえるでしょう。
M&A取得した海外子会社への統制が効いていない
M&Aにより取得した海外子会社へのガバナンスが効いていない場合も、情報漏えいのリスクが高まります。海外の現地法人とのコミュニケーションが不十分なまま海外展開を行う企業も多く、このような問題が多発しています。海外事業の経営判断をするにあたり必要な情報が不足していること、明確な経営戦略とその方針が伝達できていないことなどが親会社側によくある問題点です。
現地の状況把握に時間がかかり過ぎる場合も、情報伝達のレスポンスに遅れが生じるため、統制力の低下に繋がります。業務プロセスの改善や変革が必要でしょう。親会社と現地法人、互いの意思伝達ができ、その通りに行動ができること、さらにその一連がスムーズに実施できる状態であることが求められます。この問題は人的要因とも限らないため、必要に応じてコミュニケーションやコラボレーション基盤も整備しなければなりません。日本の商習慣や文化とのギャップが業務遂行の妨げになっている可能性もあるでしょう。統制力を効かすためにもこれらの問題を解決していくことが大切です。
[SMART_CONTENT]
日本企業の海外拠点がとるべき情報漏えい対策
前段で説明してきた問題点を鑑みれば、海外子会社も含めた全社的セキュリティポリシーを策定すること、コミュニケーションやコラボレーションの元となるファイル共有基盤を整え、厳正に権限管理すること、そして従業員に対する教育を行うことが重要といえます。
海外子会社を含めた全社的なセキュリティポリシーの策定
企業においてセキュリティポリシーはITガバナンスにおいて最も重要です。ポリシーを保持していなければ、対策どころか対策の必要性すらも説明することができません。
また、グローバルにビジネスを展開するのであれば、現地の法律や政治情況も考慮しつつ、海外の法律、政治、商業慣行に基づいた適切なセキュリティポリシーを策定する必要があります。親会社ではポリシーを保持している場合がほとんどですが、海外にある子会社や、現地法人に対してどのような規範を求めるのかも明確にしましょう。セキュリティポリシーを明確にしておくことで、今後起こりうる環境の変化にも対応しやすくなります。
クラウドストレージなどのツールで厳正な権限管理
メール添付によるファイル共有ではなく、クラウドストレージなどのツールによってファイル共有を行うようにすることで、セキュリティレベルや情報ガバナンスを高められ、かつ様々な業務が効率化する可能性があります。
ただし、そのためには厳正な権限管理を行う必要があります。具体的には、どのデバイスからのアクセスを許可するのか、どの場所からのアクセスを認めるのか、ファイルの処分等に関する操作権限者は誰なのか、といった点です。ほかにも、ファイルのアクセスログが取得できる、ワークフロー機能がある、通信が暗号化できる機能、送受信のログ記録の範囲、データが保管されるデータセンターリージョンなどの確認も重要です。
ファイル共有が可能なツールは様々ありますが、高機能なツールとして「Box」が挙げられます。マルチデバイス対応となっており、ワークフローのタスクや進捗管理、アクセス管理等のセキュリティ面やログ取得、リテンション管理といったガバナンス面も充実しています。
セキュリティ教育の実施
セキュリティポリシーや、使用するツールのセキュリティレベルも重要ですが、それらを実際に運用する従業員に対して教育を行うことは根本的解決にも繋がります。策定したセキュリティポリシーに基づいて教育カリキュラムを構築し、教育の成果としてセキュリティインシデントを起こさせないようにする仕組みを作ることが重要です。
注意すべきなのは、ただ自社基準を満たすため、とりあえず実施するといった形で行わないことです。実のある教育とならなければ無駄なコストを割くことになってしまいます。
また、本来の目的はセキュリティインシデントを起こさないことなので、教育の効果測定を行うことも欠かせません。テストを行って理解度を測定することも有効的ですし、ヒヤリハット・インシデントの発生数を過去と比較することも成果を測る一つの指標にできるでしょう。
ファイル共有とは?取引先やリモートワーカー同士の安全な方法
まとめ
海外進出した企業は、情報漏えい対策の観点から、海外を視野に入れたセキュリティポリシーを策定する必要があります。海外の従業員へセキュリティに対する意識を高め教育等を実施し、インシデントの発生を抑えるようにしましょう。
また、そのポリシーを遵守できるツールの選定や整備、使い方も重要です。特に、海外拠点がある場合にはファイル共有を円滑かつ安全に行うことができる高いセキュリティ要件を満たすツールを選択しなければなりません。Boxは企業向けに特化したクラウドとして暗号化やアクセス・権限管理、ガバナンス機能を備え、複数のデータセンターがあるなど、ニーズを満たせるツールの1つです。コスト等とのバランスも考慮し、自社での運用に適しているかを考慮して導入を検討しましょう。
