Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

厳しい監視がテレワーク社員を危険な行動に追いやる

つぶやいてみた。

コロナ禍を受け、日本企業でも社員の監視ツールを導入している所もあるかと思いますが、気になるデータが出ていました。

www.infosecurity-magazine.com

英国のリモートワーカーのほぼ半数(44%)が雇用主によって監視ソフトウェアをインストールされていますが、その傾向により多くの人がより安全でない慣行に追い込まれているとKasperskyは警告しています。

パンデミックにより英国の従業員の大多数が在宅勤務を余儀なくされてから約1年後、ロシアのAVベンダーは、マネージャーと従業員の間の信頼のレベルを理解するため2000人のフルタイムスタッフを調査しました。

監視ソフトウェアは、特に人為的ミスによって引き起こされるインシデントの割合が高いことを考えると、非準拠でリスクの高いユーザーの行動に対する重要な防波堤になる可能性があります。Kasperskyは、電子メール、インターネット、アプリ、電話の使用状況の監視と、雇用主がリモートエンドポイントに展開することがますます一般的になっている場所の追跡について言及しました。

しかし、調査のために調査した労働者の3分の1(32%)は、監視ツールを使用するとマネージャーやチームリーダーへの信頼が低下すると述べ、同様の数(30%)が彼らのプライバシー。約4分の1(23%)が、このソフトウェアを介した個人情報へのアクセスの可能性について懸念していると述べています。

(Infosecurity Magazine記事より引用)※機械翻訳

 

キタきつねの所感

元ソースはKasperskyの調査データの様ですが見つけられませんでした。しかし、Infosecの記事が合っているという前提で、記事の内容を考えてみたいと思います。

まず感じたのが、UKでは44%の企業が監視ツール入れているという部分です。正直多いなという印象です。

コロナ禍でテレワークを強いられている従業員は欧州でも多い訳ですが、日本よりはるかに成果主義(Job Description)が進んでいる国々で、”監視ツール”が導入される率が高いというのは、思った以上に、企業側が従業員を信頼してないという事なのかも知れません。

 

とは言え、2020年以降に発生したインシデントを考えると「人為的ミスによって引き起こされたインシデント」が結構あったのは、まさにその通りであり、企業側がその穴を何とかしよう監視ツールを導入するのは妥当性が無いとは言い切れません。

しかし従業員側の1/3は監視ツールを導入する事によって、会社(チームやマネージャー)に対する信頼が低下すると回答している部分は、企業と従業員との間の大きなギャップを感じます。

 こうした”従業員監視”を強めると、従業員側がそれを素直に受け入れるかと言えば、「必ずしもそうではない」事が調査データから読み取れるので、留意が必要です。

 

調査対象の従業員の4分の1(24%)は、スパイされないように個人用デバイスを使用していると述べ、ほぼ3分の1(31%)は、監視されていることを知っていれば、仕事でより頻繁に使用する可能性が高いと述べています。

一部の人々は、独立機関(26%)に正式な苦情を申し立てるか、監視されていることがわかった場合は現在の仕事を辞める(24%)と述べました。

(Infosecurity Magazine記事より引用)※機械翻訳

コロナ禍で段階を踏まずに強制的にツールを導入した事により、従業員の「ツール」への不信感を高め、チーム力や生産効率を落とす事も十分に想定できます。

また、そこまでは至らなかったとしても、監視が厳しい会社支給端末ではなく、個人端末を利用して監視の目を潜り抜けて業務を行う従業員が多くなると、シャドーITが拡大します。

こうしたシャドーIT利用が拡大すると、フィッシング被害、機微なデータ漏えい、個人情報漏えいなど、企業側の情報資産に影響を与えるリスクが高くなる事が予想され、企業が”監視ツール”を導入した事によって、セキュリティリスクが高くなってしまう事にもなりかねません。

 

ではこうしたギャップをどう埋めていくべきなのか?と考えると、監視カメラをオフィス(工場)に導入した際に発生する議論と同じ気がします。

その対策は、企業のみならず従業員を守るためにある、という説明(会話)が足りないのだと思います。

 

こうしたツールの良い所は、働き過ぎを防止する事にもあると思いますし、一人暮らしの社員であれば生存確認という側面もあるかも知れません。また、セキュリティ面で言えば「何故そうすべきなのか(企業ルール)」を企業と従業員が話す切っ掛けにもなるかと思います。

監視ルール(プライバシー保護、閲覧権限)や、監視の目的、そしてペナルティの有無などを、従業員とよく話した上でツールを導入するのであれば、調査データにある程に”抵抗”される事は無いのではないでしょうか。

 

 

余談です。会社の上の方と”このテーマ”で雑談した事があるのですが、テレワークで仕事をサボる人は、会社に出社していてもサボっている(目立たなかっただけで)から、その事を深く考えても仕方が無い。むしろ成果を出しているのであれば日中昼寝してようが構わないのではないか、という結論に(当時)なりました。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 上司に監視される会社員のイラスト(女性)

 

更新履歴

  • 2021年4月17日 AM