タイではあまり気にしていなかった情報の取り扱いに関して、最近は本社から 「タイ現地法人の 情報セキュリティ はどうなってる?」「情報セキュリティを徹底しろ」などといきなり言われることも多いかと思います。今回は難しそうな 情報セキュリティ を社内で簡単に始める方法を説明します。
タイ個人情報保護法(PDPA)がきっかけ
タイでも個人情報保護法(PDPA)が施工され、これをきっかけに本社側からも 情報の取り扱い や 情報セキュリティ に関してうるさく言われるようになったのではないかと思います。しかし、情報セキュリティなんて専門的なことはさっぱりだ、何から手を付けてよいかわからない、予算もいくら付けてよいかわからない、と、情報セキュリティに関してはわからないことが多いと思います。
とりあえず「IT業者に連絡」は間違い
情報セキュリティに関してよくわからないので、とりあえずIT業者に連絡してみよう、と考えた方、まずこれが間違いです。「情報セキュリティ = IT」考えがちですが、実はそうではありません。2つは異なるものです。ITが浸透している現代ではITにて情報を取り扱うことが多いため「情報セキュリティ = IT」と考えがちですが、情報セキュリティとはその名の通り情報に関するセキュリティのことですので、基本的にはITとイコールでは有りません。
IT業者でも情報セキュリティのことをきちんと理解している方がいないほうが多いため、まずIT業者に問い合わせるのは止めたほうが無難です。
IT業者は、IT機器 や ITサービス を販売する
もし、IT業者へ連絡した場合には、100%の確率でIT関連商品をお勧めしてきます。
「この商品を購入すれば情報漏えいを防げます」などときちんとした情報セキュリティの考えからは外れたセールストークを行います。
「情報」は IT の中だけではない
タイでは未だに書類などを多くプリントアウトしていると思いますが、それらも重要な「情報」です。IT機器やソフトウエアの最新のものを購入しても、書類など現物の情報に関してのセキュリティにはなりません。いくら強固なサーバーなどのIT機器に情報を集約して守っていても、その機器にアクセスするパスワードをメモに書いて貼っていてはそのセキュリティは全く役に立ちませんよね?
必要なのは 情報を取り扱う「ルール」
文書の場合にはそこに記載されている情報のレベルに応じて「社外秘」「極秘」などのはんこを押して管理するのを見たことがあるかもしれません。これも1つの情報セキュリティの方法です。重要なのは、情報の種類や形(メディア)に適切な取り扱い方法を決めた「ルール」ということです。
本社にルールがあればそれを参考にする
本社に情報の取り扱いに関してのルールがあれば、それを取り寄せましょう。本社と同じルールに則って同じレベルでセキュリティを強化すれば本社から文句は言われません。
本社にもルールが無ければ
本社にもルールが無い場合にはタイで独自に作成するしかありませんが、自社だけでは作成できないという場合には弊社のような情報セキュリティに詳しい業者へご連絡ください。
ルールの翻訳
本社からルールを取り寄せた後、まずは経営者が日本語でよく理解する必要があります。その後、タイ人スタッフのためにタイ語翻訳をすることになりますが、ただ単に翻訳すると内容が間違ったまま翻訳される可能性がありますので、弊社のような情報セキュリティに詳しい業者へ翻訳を依頼するか、経営者がルールを読んで理解しづらいと感じた箇所が正確に翻訳できているかチェックすることが重要です。
ルールの制定、周知、担当者、チェックリスト、定期的業務
ルールが作れればそれを社内のスタッフ全員に周知し、理解してもらいます。「各自読んでおくように」というやり方よりも、ある程度の人数で集まって行う勉強会のような形がお勧めです。色々な意見や質問が出て理解が深まるし、わざわざ勉強会までするという重要性が伝わりやすいです。
また、情報管理室のような部署が無い場合には、担当者(責任者)も決めておく必要があります。担当者を決める理由は、周知する際にも中心となってもらわなければなりませんが、その後に担当者がきちんとルール通りに情報を取り扱っているかというチェックを行うためです。ルールを作っただけでは実行していないこともあるため、チェックリストを作ってチェックする、さらにそれを定期的に行うことで情報セキュリティを強化します。
スタッフが入れ替わる際に重要
退職者が出たり、新しい人材が入ってきたりしたとき、担当者が中心となって退職者が情報を持ち出さないか、外部からアクセスできないなどをチェックし、また、新人へのルールの説明をして理解してもらったかなど、担当者がいなければ忘れてしまいがちな業務があります。
以前の記事と重なる部分がありますので、こちらもご参考にしてください。
パスワードを全て覚えていますか? | 経営サポートinタイ (keieist.com)
IT業者の上手な使い方
作成したルールに基づいて業務を行っていくと、どうしても「この情報の取り扱いをもっとうまく出来ないかな」ということが出てきます。ここでやっとIT業者の出番です。やりたいことが明確に有り、これこれこういう目的で、このようにしたいが出来るか?と聞くと、IT業者は期待にそったIT機器やITサービスを紹介してくれます。
目的(どうなっていれば良いか)を明確に伝えれば、IT業者はお客様が知らなかった魔法のような解決方法を提案してくれることもあります。手段を伝えるのではなく、きちんと明確に目的を伝えることが大切です。
弊社では、情報セキュリティに関しての基礎的な考えのコンサルティングから、情報セキュリティ・ルールの作成、ルールの翻訳、それを実現できるIT商品のご提案まで、情報セキュリティに関するサービスを提供しております。
ITサービスに関してはタイにて約20年の実績を持っており、ALSOKタイ の資本提携パートナーでもあるため、物理的なセキュリティも含めた情報セキュリティの専門家として活動しております。(T&Tomorrow Co., Ltd.)
是非お気軽にお問い合わせください。
お困りごと、ご相談
ご相談無料です。どうすればよいかの方針をアドバイスさせていただきます。
担当者が可能な限り迅速に返信致します。