今回は、インターネットの普及によりＩＴと関わることが不可避となった世の中で、ＩＴを使う為に忘れてはいけない「at your own risk」という考え方について振り返りをしておきます。

　「at your own risk」とは、「自分のすることは自分で責任をとる」という極めて単純な考え方です。全てのＩＴ商品は、この考え方で世の中に提供されていることを十分認識しておくことが重要です。つまりは、様々なシステム障害や情報漏洩なども基本的に全てユーザ責任になるということです。我が国では、ややもするとシステムベンダーの責任を追及する風潮もありましたが、マイクロソフトやオラクルなど海外ベンダー製品がディファクトとして普及していくことにより、このシステムベンダー責任を追及することは少なくなりました。最近のＩＴ障害に関する報道姿勢にもよく顕れています。みずほ銀行の障害についても、感染症対策ソフトココアcocoaについてもシステムベンダー名は登場しません。以前ならメーカ名くらいは出てきていました。このようにＩＴシステムを使うということに関しては全てユーザ責任となります。

　この原則は、携帯電話やパソコンなど個人で使う機器についても同様です。特に気を付けたいのはスマホアプリに代表されるクラウドサービスです。手軽に使えるからといって、様々はアプリをダウンロードして使っていて紛失やなりすましなどの問題が発生した時には、利用者責任となり、場合によっては膨大な額の損害賠償を請求されることもあり得ます。普段は細かくチェックしないと思いますが、ダウンロードに際して表示される規約類をよく読み、ダウンロードの可否を判断すべきです。法律用語で難解な文章も多いので、必要最小限のものしかダウンロードしないというのが鉄則と考えます。

　ＩＴ関連で最大のリスクは情報漏洩です。特に、個人情報については法整備もなされておりますので最重要です。従って、法人が最初になすべきことは、情報セキュリティポリシーを定め、それに従って運用ルールを明確にすることです。情報セキィリティポリシーとは、法人で扱う情報を定義し情報を護るしくみを明確にすることです。加えて、それをＨＰなどで公表することが必須です。情報を護るとは、関係者以外の方の以下の４つの行為を防ぐことです。

１）情報を見られないようにする。

２）情報を持ち出されないようにする。

３）情報を消されないようにする。

４）情報を書き換えられないようにする。

ご興味のある方、バックNo.124情報セキュリティも合わせてご覧ください。

　今後は企業においても、自社にサーバ等を設置してシステムを利用する形態からクラウドサービスを活用する方向に変わっていくことが予想されます。情報セキュリティポリシーの観点からもクラウドサービス利用には有利な点がいくつかあります。

　一つは、外部からの攻撃に対して強固なシステムになります。事務所のＰＣからインターネットに接続できるということは、情報を無防備に晒しているのと同様です。インターネットを通じて情報を盗む攻撃から守る為には、高価な費用と高度な運用スキルを有した人材が必要となります。クラウドサービスを利用することで、この外部からの攻撃のリスクをクラウドセンターに任せることが可能になります。勿論、その為には、利用するクラウドサービスについて、前述の情報セキュリティポリシーに明記しておくことをお勧めします。特に、クラウドサービスは全世界共通に提供されていることが多いため、契約の準拠する法律がどこの国のものなのか？を明確にしておくことが必要です。一般的には日本国の法律に準拠したサービスを利用することにしているところが多いです。日本の法律に準拠していることを簡単に見分ける方法は、クラウドセンターが日本国内にあることです。

　次に、働き方改革に伴う在宅勤務の増加など、社員のＰＣやスマホを利用することも増えると思います。この点についてもクラウドサービスを利用することで、個人所有のＰＣやスマホから情報を操作することは出来ても、そのデータを個人所有の機器に残さないようにすることが可能になります。これにより、個人所有の端末の買い替えや紛失などによる情報漏洩を防げます。これについても、その利用料金や職場外時間外労働など、ＢＹＯＤ（Bring your own device、ビーワイオーディ　個人所有機器の業務での利用）を定義し、情報セキュリティポリシーの中で明文化することが必要です。

　以上のように、今後、企業において業務のデジタル化（ＤＸ）を推進するには、「at your own risk」が大前提で提供されているＩＴ製品を活用するので、情報セキュリティポリシーを作成することが急務と考えます。

以上