マイナンバー制度はココさえ押さえれば安心! 企業規模を問わない情報漏えい対策

この情報を見る必要があるのは、“どの部門”の“どの役職”だから、それ以外からは閲覧禁止にするといったように、業務の実態に合わせて情報の取扱いについてのルールを決める必要がある。

「ルールを決めるというのは簡単そうに見えて実は大変な作業です。社内の情報の整理からルール作成まで、1～2ヶ月は平気でかかってしまうでしょう。特に小さな企業では、1人ですべてをやらなければいけないケースもあると思います。そのような場合には、もう1人担当者を設けたり、専門家からアドバイスを受けたりするといいのではないでしょうか」（東方氏）

また、ルールを決める際には、情報、つまりファイルの置き場所も決めておかなければいけない。機密情報の場合、クライアントPCやUSBメモリーに保存するなどというのは論外と言っていい。そこで、“ファイルサーバーの所定のフォルダに保存し、ローカルやUSBメモリーには置かない”といったルールを決める必要がある。その上で、このルールが有効となるような技術的な対策を施すようにしたい。

「技術的な仕組みをつくる際には、運用をある程度まで自動化できることを目指すといいでしょう。例えばアクティブディレクトリを使うのであれば、社員の異動に合わせてファイルやフォルダへのアクセス権限も自動的に変わるといった仕組みが有効です。