理研 情報セキュリティ規約違反で職員を懲戒処分

理研科学研究所によると、同研究所の基礎科学特別研究員が、平成27年度及び平成28年度に使用許諾(ライセンス)違反しソフトウェア製品を使用したこと、また、パソコンの持ち込みや使用について所の情報セキュリティ規程に抵触する行為があったことが分かったとし、懲戒処分を課したとのことです。

同研究所によると「職員がこのような行為をしたことは誠に遺憾であります。
今後、情報セキュリティに関する指導・教育を今一度周知徹底し、職員の意識と理解の向上を図り、再発防止に努めてまいります。」としています。

下記のとおり処分を実施

1.被処分者
生命システム研究センターの基礎科学特別研究員

2.処分量定
出勤停止30日

3.処分年月日
平成29年8月23日

情報セキュリティ規定は、セキュリティポリシーにて規定されることが一般的です。セキュリティポリシーは企業の場合は社長や経営者による基本方針のもと、スタンダードと呼ばれるセキュリティに関する基準、そしてプロシージャと呼ばれる具体的なルールにまで落とし込まれています。まれにこのルールが記載されておらず、管理方法が現場任せになっているところが見受けられますが、これだとポリシーとしては不十分です。

今回、規定違反があったとのことですので、恐らく明確なルール違反が行われたと思われます。しかしこれら規定違反を発見することは可能なのでしょうか?この職員も、いずれ罰せられるとわかっていたらこんな違反はわざわざしないはずです。大事なのは罰することではなく、違反をさせないことです。

まずはセキュリティポリシーを常に見直しをし、そして定期的に社員や職員に勉強会などで繰り返し伝えることです。そしてその際、会社側は、これこれといった仕組みで、違反者はすぐに見つかりますよ、とそれとなく伝えておくと良いでしょう。これにより、ついこれくらい大丈夫という甘えを抑えることができます。また、はったりではなく実際に有効なソリューションも導入しましょう。今はある程度はシステムで監視可能です。

詳細;理研科学研究所

<