別紙：情報セキュリティに関する意識調査の結果

別紙：情報セキュリティに関する意識調査の結果
Q１
あなたの年齢層を選択してください。
①
20 代
②
30 代
③
40 代
④
50 代
⑤
60 代
1063
556
564
155
54
1
Q２
あなたの役職を選択してください。
① 部室員
② 室長
③ 部長
④ 副本部長以上
⑤ 派遣社員
⑥ 委託先の請負責任者
1526
471
108
130
50
31
2
Q３
あなたは、ノート PC（当社グループ所有）の社外持ち出しに関するルールを理解し
ていますか。
①
よく理解している。
②
ルールの概要は理解している。
③
ルールをあまりよく理解していない。
1585
743
64
3
（③と回答した人についてお聞きします）その理由は何ですか。
・自分はノート PC を使用しないので関係ない。
・ルールが複雑なので理解できない。
・ルールに関心がない。
・その他（自由記載）
49
38
10
記載件数
•
39 件
回答内容の全体的な傾向
•
ノート PC を持ち出す必要がないので、ルールを知らない。
•
ノート PC を持ち出す必要があれば、ルールを調べる。
•
社内ポータルでは、ルールがどこに定義されているのか、よく判らない。
その他、特徴のある回答
•
「1.業務上ノート PC を持ち出す必要がないので、社内ルールを詳しく読
んだことがない。必要になれば、経験者に聞いてポータルを調べルールを
4
理解する。
2.社内ポータルでは「どんな場合に、どんなルール(申請・手続き)が必要
か」わかりづらい。（経験者に聞くしか手段がないので伝達漏れなどがあ
っても気付けない）
」（部室員：20 代）
•
「情報セキュリティ事故発生前のルールについては、十分理解しているつ
もりであるが、現状のルールに関しては、持出しを行なわない、持出さな
い施策を考え、持ち出す場合には、ホワイト PC とする。という理解であ
り、詳細なルールに関しては不明である。
」（部室員：30 代）
•
「ルールについて説明を受けておらず、イントラ内についても資料を見つ
けられない。持ち出しについては御社担当リーダーの了解の元行ってい
るが、それがルールの通りかどうかは判断できない。
」（派遣社員：30 代）
5
Q４
あなたは、ノート PC（当社グループ所有）の社外持ち出しに関するルールに反して
社外にノート PC を持ち出すこと／持ち出したことがありますか。
①
ルールに違反して、ノート PC を持ち出すこと／持ち出したことはない。
②
ノート PC を持ち出すこと／持ち出したことはあるが、それがルールに違反しているか
どうかは分からない。
③ ルールに違反してノート PC を持ち出すこと／持ち出したことがある。
2290
48
39
6
（③と回答した人にお聞きします）その理由は何ですか。
（複数回答可）
・ルールを守っていては、作業納期に間に合わないなど、仕事に支障が出てしまう。
・職場でルールは守られていないので、自分も守る必要がないと思う。
・ルールを守るための手続きが面倒。
・その他（自由記載）
26
17
7
2
記載件数
•
26 件
回答内容の全体的な傾向
•
ノート PC を持ち出す時点では、ルールの存在を知らなかった。後日、ル
ールの存在を知った。
•
持ち出しに必要な申請書を提出し決裁を受けたが、申請書で定めた持ち出
し期間を超えてしまったことに気づかなかった。
その他、特徴のある回答
•
「昨年度の話ですが、初めての出張先が地方営業所だったのですが、出張
を指示されてからのスケジュールが急で、なおかつ初出張で出張申請や航
空券手配などの諸々の手続き等に追われ、PC の持出申請が必要というこ
7
とまで考えが至りませんでした。持出申請が必要だったと認識したのは出
張から帰ってきた後でした。一番の非は社内ルールを把握していなかった
自分にあると思っています。しかし、初めての社外出張にも関わらず上
司・先輩からの自発的なアドバイスやフォロー、事前確認等は一切ありま
せんでした」
（部室員：20 代）
•
「持出し申請は許可を得ていたが、使用場所の定義がされていない場所で
の使用をしていたことがあった。使用許可期間を超えて持ち出したままに
なっていたことがあった。」
（室長：30 代）
8
Q5 あなたは、当社グループ所有外のノート PC（予め、社内承認を経て、社内に持ち込ん
でいるもの）を社外に持ち出す際に、どのように対応していますか／指導していますか。
①
該当するノート PC が、そもそも自分の部署には存在しない。
②
口頭またはメール・その他文書等で上司等に申請し、承認を取得している／指導して
いる。
③
特に何も行っていない。
1531
700
130
9
Q６
あなたは、飲酒に絡む情報セキュリティ事故（ノート PC、会社支給携帯電話、入館
証の紛失など）について、常日頃から注意を払っていますか。
①
特に注意はしていない
②
ある程度注意はしている
③
十分注意している。
④
十分注意することに加え、部下・同僚や派遣社員等に注意を促し、酒席の場において、
ノート PC 等の有無について点検している。
1558
95
255
468
10
（②または③と回答した人についてお聞きします）具体的にどのような対応を行っていま
すか。（複数回答可）
・飲み過ぎないように心がけている
・鞄を電車の網棚などに置かないなど、手元から離さないように心がけている。
・ノート PC を飲酒の場に持参しない（あるいはノート PC を持ち出すこと自体がない）。
・部下や同僚らに注意喚起を行っている。
・その他（自由記載）
1241
1451
650
352
127
記載件数
•
169 件
回答内容の全体的な傾向
•
そもそも飲酒しない。飲酒回数を減らしている。
•
会社貸与の携帯電話・入館証等は、肌身離さず持つ。
•
ノート PC を持ったまま、飲酒を伴う会合には参加しない。やむをえない
場合はコインロッカーに預ける。
11
その他、特徴のある回答
•
「情報の持ち出しをしない。宴会の会場では帰宅時に相互に忘れ物は無い
か確認をしあうなど、細かい努力はしている。
」（部室員：40 代）
•
「解散前に参加者に対して携帯電話、社員証の存在確認を行なっている」
（室長：40 代）
•
「飲みが長時間になりそうな場合は事前にコインロッカー等に預け、翌朝
取りに行くようにする。
」（委託先の請負責任者：30 代）
12
Q７
あなたは、当社グループの情報セキュリティに関するルール全般（「情報セキュリテ
ィ小冊子」などに記載されています）について、どのような印象を持っていますか。
①
厳し過ぎる。
②
ちょうどよい。
③
緩すぎる。
④
ルール内容をわかっていないため、特に印象はない。
⑤
その他（自由記載）
1867
164
152
41
158
記載件数
•
240 件
回答内容の全体的な傾向
•
（ルール内容は、“緩すぎる・丁度よい・厳しすぎる“との意見が、ほぼ
同じ割合）
•
ルール内容は問題ないが、運用や仕組みづくりが不足。「絵に描いた餅」
状態。
•
ルールも必要だが、システム的な対応が重要。
•
現場の実態にあっていない。
13
その他、特徴のある回答
•
「定期的に冊子を読まなければ定着しないのではないかと思う。概要程度
しか覚えていない。
」（部室員：20 代）
•
「・ルールだけを作り、その徹底及び監査を現場に任せている会社の姿勢
には疑問。・ルール作りのみでなく、システム的にセキュリティ事故を起
こさせない仕組みが無い為、実効性に疑問を感じる」
（部室員：30 代）
•
「顧客が金融機関ということもあり、顧客のセキュリティ意識は高く、ま
たセキュリティ事故を起こさないための仕組みがさまざまに施されてい
る。それに比べると MKI は社員の意識に負うところが多く、チェック体
制やそもそも情報漏洩できないようにする仕組みが無い。先日も今回の事
故の報告時に顧客から
『MKI さんは社外から PC 持込ができるんですか？』
とびっくりされた。顧客先ではどうしても持込が必要な場合は持込毎の申
請書と行き帰りにウィルススキャンの結果コピーを受付に提出する必要
がある。
」（部室員：30 代）
•
「私は転職者ですが、小冊子等の規程の整備は出来ていると思いますが、
社員に対する落としこみが徹底されていないと感じます。」（部室員：30
代）
•
「転職で数社経験していますが、情報セキュリティに関しては一番緩いと
感じています。いい意味では社員個人に任せても大丈夫との、信頼からか
とは思いますが、万が一の事後対策としては脆弱かと思います。また、社
員のセキュリティリテラシーも高いとはいえない。」
（部室員：30 代）
•
「罰則規程ばかりが先行し、予防する方法などを検討していないと感じる。
すくなくともシステムインテグレータとして、外向けの仕事をしていく以
上、罰則だけでなく、システムによる安全な情報へのアクセスなどを検討
すべき。
」（部室員：30 代）
•
「ルールが徹底されていない。PC 持ち出しについて申請すれば、ほぼ間
違いなく許可されていて、部会でその点について指摘しても「みんな必要
だから持ち出しているのだ」と。
（ほとんど外出することのない 2 年目の
社員も申請し許可されていた）
」（部室員：40 代）
•
「絵に描いた餅だと思います。全てが完全に機能すればすばらしいとは思
うが、実際に作業をする側から見れば、現場の感覚から乖離しているとい
う印象はぬぐえない。セキュリティの水準を十分に確保した上で、なお業
務効率を上げるような工夫や、代替案、取り組み、が不足している。制限、
規制を繰り返している印象は強いが、セキュリティ事故が減った印象が薄
い。」
（派遣社員：20 代）
14
•
「ルールをどう周知し、徹底していくか、運用面が大事だと思っています。
現状は機械的に配るだけにで終っているようなきがします。」
（派遣社員：
40 代）
•
「内容としては十分と思う。しかし、実際に発生した場合のリスクを共有
できていないと感じる。現実感に欠けている？
社会的な信用を失墜する
とはどのような事なのか、その結果会社・社員に何が起きるのか。信用の
回復はどれほど難しく時間がかかること事なのか。今回の事故に関しても
周囲から危機感が感じられない。」
（委託先の請負責任者：30 代）
15
Q８
あなたは、仕事の際に、情報セキュリティに関して「ヒヤリ」としたり、「ハッ」と
したことはありますか。
①
ない。
②
同僚などの行為を見て、そう感じたことがある。
③
自分自身の業務で、そう感じたことがある。
1705
275
410
16
（②または③と回答した人にお聞きします）それは、たとえばどういう場面でしたか。（記
述式）
記載件数
•
626 件
回答内容の全体的な傾向
•
メールや FAX の宛先を誤って送信したとき
•
紛失・置忘れ（USB メモリ、ノート PC、携帯、社員証、手帳・ノート、
ファイル、社員の緊急連絡網の資料、等）
•
社員証のネックストラップが磨耗してちぎれたとき
•
スクリーンセーバーが設定されていない PC を発見したとき
•
機密情報を社外の公の場で話しているのを見かけたとき
その他、特徴のある回答
•
「ヒヤリではないが、社員証等の紛失を過度に恐れて、敢えて持ってこな
いメンバーがいる。本末転倒な気がする。
」（部室員：30 代）
•
「一言で言うと、「ルールの方がおかしい、そんな事やってたら業務が回
らない」と周りがいっているとき（あまりにも極端なルールだと、私もそ
う思うときはありますが）」
（部室員：30 代）
•
「出張時など、PC を持っていかなければならないが、お客様との酒宴の
席にも PC を持参せざるを得ないケースや、非常に疲労が溜まっている中、
新幹線等で無防備になりがちな場面。また、無防備な無線 LAN 等に意図
せず接続してしまうケース。その都度自身でケアしているが、なかなか是
正されにくい部分だと思う。」
（部室員：30 代）
•
「多忙な中で客先に複雑な内容の重要なメールを送信しなければならな
いとき、客先などで ML ではなく多数のあて先に間違いなく送信しなけれ
ばならないとき、メールの誤送信などが非常に怖いと感じた。
たまたま一緒に行動した同僚、上司が、客先ビル内、ランチ先などで会社
の機密情報を大きな声で話したり、目立つ非常識な行動をしていた場合」
（部室員：30 代）
•
「上司として管理監督しなければならない立場の人が自分の携帯電話を
夜アルコールの席で忘れたことを黙ったままで翌日就業中に捜索してい
ることが周辺の人間の間で噂になっていたが、立場の問題があるとの認識
からその中間層のスタッフより見てみぬふり的な言動があった。」（部室
員：40 代）
17
•
「会社にて使用するノート PC は、物理的に施錠（ワイアーにてデスク等
固定物に繋げる）することになっていたが、ワイアーが外れていたことが
ある。」
（部室員：50 代）
•
「顧客から生のデータがメール等でくることがあった」
（室長：30 代）
•
「上司の言動や部下の言動（社内外を問わず）
」（室長：30 代）
•
「現時点のルールを正確に認識しないで合併前など過去からのやり方が
正しいと思い込んで仕事をしているケース。」
（副本部長以上：50 代）
•
「会議等で配付される資料に機密情報に近い書類があるも、会議終了後回
収しないことがある。」
（副本部長以上：60 代）
•
「モニターの電源を切るだけでパソコンの主電源を落とさずに帰宅して
いる。」
（派遣社員：20 代）
•
「同僚というより、会社全体の対応の鈍さと、対策のセンスの無さに危機
感を感じる。
」（派遣社員：20 代）
•
「移動中の会話で、業務または個人情報に関する会話が平然と行われる。
それを注意すると「何が悪いかわからない」を逆ギレされる。」
（派遣社員：
40 代）
18
（②と回答した人にお聞きします）そのとき、あなたはどういう対応をしましたか。
・特に何もしていない。
・指摘または注意した。
・上司に報告した。
190
80
38
19
（③と回答した人にお聞きします）そのとき、あなたはどういう対応をしましたか。
・特に何もしていない。
・上司に報告した。
242
140
20
Q９
あなたは、日々の業務を通して、「作業納期の遵守」と「情報セキュリティの確保」
の両方を達成しなければならないことに対して、ジレンマや悩みを感じることがあります
か？
①
感じることがある。
②
感じたことはない。
1461
921
記載件数
•
126 件
回答内容の全体的な傾向
•
「作業納期の遵守」と「情報セキュリティの確保」の優先度を顧客・上司
等に相談して対応した。
•
「作業納期の遵守」と「情報セキュリティの確保」の両方を達成するため
に、他メンバーと作業を分担したり、残業（徹夜含む）や休日出社で対応
した。
その他、特徴のある回答
•
「勤怠やスケジュールを無視した"指示"という名の"無茶振り"も多いと思
21
う」
（部室員：30 代）
•
「立場強い人からの命令と会社の規定がぶつかる場合どうしたらよいか
わからなかった。会社の規定を優先した時、だれか守ってくれるか不安。」
（部室員：30 代）
•
「上司に相談したとしても、回答はほぼ同じで、セキュリティを守りなが
ら、納期を守るという結果で、結局は徹夜してでも納期を守る事になりま
す。その結果、36 協定に抵触する事になり、元々のスケジュールや工数見
積の問題になり結局は、工数が増加して、見積価格が高くなり、受注しに
くくなるという悪いパターンになり兼ねないので、難しい問題だと認識し
ています」
（部室員：40 代）
•
「情報セキュリティの対策は、本部側から具体的な仕組みの提示などはな
く、現場に考えることを求められている。現場は日々の業務で手いっぱい
で考える時間もなく、対応が後手に回っている。」
（室長：30 代）
22
（①と回答した人にお聞きします）そのとき、あなたはどういう対応をしましたか。
・特に何もしていない。
・作業納期の遵守を優先した
・情報セキュリティの確保を優先した
・上司等に相談して対応した
・その他（自由記載）
331
90
58
378
69
23
Q１０
あなたは、自分の部署（またはプロジェクト）で、ノート PC や USB メモリの紛
失といった重大な情報セキュリティ事故が起こる可能性があると思いますか。
①
ない。
②
少しはある。
③
かなりある。
④
いつ起こってもおかしくない。
1323
810
80
169
24
Q１１
あなたは、ノート PC や USB メモリの紛失といった重大な情報セキュリティ事故
の原因は何だと思いますか（複数回答可）
①
本人の不注意。
②
上司の管理不足。
③
当社グループの教育、研修体制の不備。
④
物理的コントロールの不備
⑤
その他（自由記載）
2055
679
1147
585
241
記載件数
•
283 件
回答内容の全体的な傾向
•
情報セキュリティに対する本人の不注意・意識の低さ、モラル不足
•
上司の管理不足
•
ノート PC を利用しなければならない業務の性質（施工時や作業事前調査
でも必要）
•
貧弱な情報セキュリティインフラ。物理的コントロール不足
•
事故はゼロにはならない。仕組みづくりが必要。
•
ルールが定着していない。
25
その他、特徴のある回答
•
「モノを持って歩く限り、いかなる対策を立てようとも、失くす危険性は
ゼロにはならないと思います。ミスをしない人間はいませんので。また、
本人の不注意と片付けて責任を個人に押し付けることはできますが、それ
は意味がありません。責任の所在が問題なのではなく、顧客の情報を守る
方法を考えることが問題だからです。」
（部室員：30 代）
•
「人間なので絶対はないと思う。それは、機械が壊れるのと同じ事。自然
なこと。「紛失しないように」という事だけに執着せず、紛失しても影響
がないといえる環境を構築すべき。シンクライアントなど。」
（部室員：30
代）
•
「紛失を個人の責任にしすぎている。USB メモリなど小さなものは、紛失
しにくい構造を考える必要がある。顧客データのやり取りなど、これまで
（セキュリティを重要視して来なかった時代から続く慣例となっている）
と違って禁止であれば、会社から契約している顧客に対して、データを受
け取れない説明をしてくれないと、現場では板ばさみとなる。顧客からの
クレームとなる。現在、面倒な事はすべて現場にマル投げになっている。」
（部室員：40 代）
•
「ＭＫＩ役員レベルの意識不足、認識不足、情報セキュリティ完備への投
資予算認識不備。」
（部室員：50 代）
•
「管理部門の管理不足。現場に責任を押し付けている意識に問題がある。
管理部門は許可申請の受付管理と注意喚起のみで、あとは現場の問題と思
っているのではないか。管理部門が情報収集・分析・改善指導等を通して
現場に対する牽制機能を強化していれば、現場の不正行動（ルール違反）
は減少する。
」（部室員：50 代）
•
「精神的疲労、過労働、注意散漫」
（委託先の請負責任者：30 代）
26
Q１２
あなたは、ノート PC や USB メモリの紛失といった重大な情報セキュリティ事故
を今後起こさないようにするためには、当社グループとしてどのような対策を行えばよい
と思いますか（自由記載）。
記載件数
•
1671 件
回答内容の全体的な傾向
•
ノート PC のホワイト化、シンクライアント化
•
GPS 機能付のノート PC の利用
•
遠隔ロック・データ消去が可能な PC の導入
•
社内教育の充実化、WBT の 3 ヶ月ごとの実施
•
USB メモリ・ノート PC の使用禁止
•
物理的コントロールの強化（ノート PC・USB 等をセンサーゲートで検知
する等）
•
情報セキュリティの意識向上
•
情報セキュリティ事故に対する罰則強化
その他、特徴のある回答
•
「今回のノート PC 紛失の件からも考えると、パートナーさんに対し、ル
ール説明をしていないのではないかと感じました。新しい方が入ってくる
ときは配属前に事前講習をした方がいいと思います。パートナーさんだけ
ではなく、もちろんプロパーも同様です。
」（部室員：20 代）
•
「ルールを設けるのは勿論ですが、SIer としては、何らかのソリューショ
ンで解決を図れるようになると”ピンチ”を”チャンス”に変えれるので
はないかと思っています。
他社事例)
・持ち出し用のノート PC は、再起動すると一切データが残らない。
・ノート PC は、シンクライアントでそもそもデータがローカルに保存さ
れない。Etc
信頼回復と安心が得られるならば、高い投資ではないはず。
」
•
「いくらガードをかけても最終的には従業者個々人の意識の問題となる。
従業者の教育を形骸化しないようにした上で、継続して実施すべしと思う。
現在も WBT があるが、内容が不十分と思う。
コミュニケーションが不十分であり、十分な情報伝達／共有が出来ていな
い。これが出来ていないといざというときに相談できなくなり、担当者が
27
独自に判断する場面が出てくる。独自に判断した結果が重大なインシデン
トにつながる恐れがある。従い、コミュニケーションを活性化させる必要
がある。
」（部室員：30 代）
•
「物理的なコントロール。例えばデパートの万引き防止のシールをノート
PC に貼って、持ち出しの際にオフィス入り口でアラームが鳴るようにす
るなど。
」（部室員：30 代）
•
「ハード面の対応をもっと充実させる。以前常駐していた某銀行の例：
・個人ロッカーと執務室の間にマントラップ（改札機みたいなもの）およ
び磁気ディスク探知機、確認用警備員を設置。
・出社時に私物は個人用ロッカーにいれ、個人の私物を執務室に持ち込ま
せない。
・一時来客者も同様。来客者用ロッカーを完備。受付でロッカーキーを貸
し出す。
・PC や USB メモリの持ち出し、持ち込みは、部門長への承認はもちろん
であるが、警備担当へのシリアル No.の報告を義務付け、警備担当が社内
外への機器移動時の最終確認を実施する。
」（部室員：40 代）
•
「機器から離れる場合にアラートがなるセンサーキーホルダーの導入」
（部室員：40 代）
•
「「社外に持ち出したノート PC や USB メモリの紛失を皆無にすることは
不可」という前提に立ち、
①社外に持ち出す許可をするノート PC は全てシンクライアント化（デー
タはサーバに置き、メールは WEB メールのみ。紛失しても物理的資産の
紛失のみであり、重大な情報セキュリティ事故とはならないようにする）
②USB メモリは全面的に使用不可（データはサーバに置く）」（部室員：
50 代）
•
ノート PC から離れるとアラームが鳴るような製品の導入を検討してみて
もよろしいかと思います。可聴による警告を行う」（部室員：50 代）
•
「ノート PC を含む全 PC のシンクライアント化、USB メモリーの指紋認
証化及び暗号化。」
（部室員：50 代）
•
「USB メモリの代替として通信カードの利用を拡大する。併せて外部から
の接続に関するセキュリティ環境を整備する。金属探知ゲートを設置する。
社員ひとりひとりにロッカーを用意する（バッグを含む全ての持込物はロ
ッカーに）。
」
（室長：40 代）
•
「他社のように、端末・ノート PC はシンクライアントを導入し、携帯電
話も会社のサーバからアドレスを引っ張るような形にすることにより、紛
失・盗難等の事故でもデータは空と言う状態にする。
」（室長：40 代）
28
•
「ノー残業デイの館内放送のように、なにかのタイミングで定期的に情報
セキュリティの重要性を意識させるような機会を設けるのはいかがでし
ょうか。
」（派遣社員：20 代）
•
「暗号化に加え、遠隔消去機能を持っていればかなりの緩和が見込めます。
紛失があったとしても、遠隔消去に成功した場合は事故としてのレベルを
下げることができます。できれば、遠隔消去までのログイン履歴を取得し
て、ログインされていないことを証明できた方が良いです。」
（派遣社員：
20 代）
•
「持出し用 PC は遠隔でロック、データ消去できるものにする」（派遣社
員：30 代）
29
Q１３
当社グループの情報セキュリティに対する取組状況について感じていること、その
他当委員会に伝えたいことやご要望等ございましたら、何でもご自由にお書きください（自
由記載）。
記載件数
•
841 件
回答内容の全体的な傾向
•
事故は決して無くならないので、紛失しても漏洩しない対策をとってほし
い。
•
ルールの押し付けだけでは限界がある。メールや Web ベースでの通達や
教育では不十分。
•
今回の情報セキュリティ事故について、社内・社外に対する説明が十分で
ないため、事故の実態がよく判らない。
•
日頃ルールを守っている人に対する評価をしてほしい。
•
（人に依存する対応ではなく）IT 技術を活用した情報セキュリティ防止策
による対応をとってほしい。
•
現実に即したルールを確立してほしい。
その他、特徴のある回答
•
「現在、各室にて ISMS 委員が情報セキュリティについての喚起や対策を
行っているものの、フロア全体を見ても、まだどこか認識の甘さがあるよ
うに感じる。（ミーティング場所が確保出来ないのか、フロアには様々な
パートナーの方もいるのに、平気な顔で重要そうな内容まで大声で電話会
議をやっていたりする。しかも他室の年次の上の方の方なので当室員とま
ずいよね、と話は出来てもなかなか注意出来ていないのが現状。）」（部室
員：20 代）
•
「最近の一連の取り組みによってノートＰＣの紛失自体の可能性は低く
なっていると思うが、一方で紛失した際の情報資産の流出可能性は低くな
っていないと感じる。というのは、私の部署では、ノート PC のログイン
パスワードをＰＣ本体にシールで貼って記載しているからである。」
（部室
員：20 代）
•
「プロパー以外の要員への注意喚起や説明が不十分だと思う。パートナー
を受入れる部署任せにするのではなく、会社として体系的に受入時集合研
修を行う等、検討して欲しい。
」（部室員：30 代）
•
「ミスはどんなに減らしてもゼロはならないものです。今回の件で言えば、
30
なぜ今まで、シンクライアントを導入しなかったのか、疑問でなりません。
もちろん現場の不注意による事故は重大です。しかし、ミスはゼロにする
ことはできないという常識があれば、情報システム会社として、シンクラ
イアント化に投資すべきを怠った経営層の不注意が、最も責任が問われる
べきと考えます。そういう反省を、経営層は明確に社員に示さなければ、
モラルハザードが起き、更に深刻な事態・状況に陥るのではと危惧しま
す。」
（部室員：30 代）
•
「参考までに、前職などで経験した持出し PC の取扱い内容
・ノート PC と同じ鞄に USB メモリは入れない（USB は首からかけてい
た）
・ノート PC にはセキュリティシステムが搭載されており、紛失時も追跡
が可能、GPS で追跡などもあった」
（部室員：30 代）
•
「毎年 WBT の受講だけでは情報セキュリティへの意識が薄くなりがちだ
と思うので、前年に発生したセキュリティ事故の報告を含め、説明会のよ
うなものを開催すると良いと思う。
」（部室員：30 代）
•
「無能すぎて話しになりません。紛失しないことに IT のプロ意識を求め
てもゼロにはなりません、失くしても問題ないように IT 技術を利用する
のが IT のプロです。今回の事件は我々の技術力を示す、むしろチャンス
ではないですか？
このまま持ち出しを止めて事故を減らしてもただの
痛い事故なだけです。どうやって我々がこのような事故を阻止していくか
を披露する絶好の機会です。他社でも同じことで困っているはずです。解
決事例として最高システムを構築するのが IT のプロです。」
（部室員：30
代）
•
「ある銀行では毎月「セキュリティの日」というのを決めて、資料を配布
し目を通したかどうかチェックしていた。それでも他部署であったが事故
は起きていた。なので、やりすぎることはないと思うので、もっとセキュ
リティに関して周知する機会を増やすべきと思う。」
（部室員：40 代）
•
「今般の対応、現場への要求はいささか押し付け感が強いのでは。有事の
時だけ「プロ」扱いされても対処できない。「情報セキュリティ調査・改
善委員会」の提言が現場無視のおざなりでないものとなることに期待しま
す。」
（部室員：40 代）
•
「対外公表された「個人情報を含むノートパソコンの紛失」については、
一社員としては公表情報しか分からず、どこに問題があったのか、情報不
足でイメージしにくい。「調査・改善委員会」での結論が出る際には、紛
失事象発生に至る周辺事実をきちんと示して欲しい。
」（部室員：40 代）
•
「当社の”紛失＝重大な情報セキュリティ事故”という発想と、IT 企業の
31
1 社なのに、IT ツールを否定したような考えには、はなはだ疑問を感じま
す。
”紛失＝重大な情報セキュリティ事故”とならないように、IT の仕組
みを使い、対策を打つことを考え、実際に導入し、評価し、お客様にもそ
のノウハウを提供するというのが、当社のあるべき姿ではないでしょう
か？
並行して注意喚起、啓蒙、教育による事故件数の低減もしていく必
要があります。」
（室長：40 代）
•
「以前に工場で働いていたとき、「安全第一」が絶対だと教わったが、そ
のとき「だから、作業効率は第二第三なのです」と聞いて、初めて「第一」
の意味を実感できた。セキュリティの前には他の要素は大胆に無視しろく
らいの言い方でいい。」
（派遣社員：30 代）
•
「経験したほかの開発現場より、少し緩いと思います。一番気になったの
は、個人の USB ハードウェアの管理はまったくないです。二三年前に、
ある携帯電話の開発現場で、USB 装置（ipod など）の持込までも禁止で
した。そこまでは必要ないけど、屋内の使用は制限すべきだと思います。」
（派遣社員：30 代）
•
「今回の対策について、非常に極端な形でシフトすることになった。対策
自体は仕方の無いことであるが、根本的にセキュリティに関する規定が甘
かったためこのように感じるのではと思われる。当方は派遣社員であり、
MKI に比べるとかなり小規模な会社であるが、セキュリティ意識の植え付
けは確実に MKI より上である。物理的な対策が一番てっとり早いのは間
違いないが、意識の向上のためには、このような Web やメール上での対
策でなく、面と向かって直接指導することも必要ではないだろうか。
」
（派
遣社員：30 代）
•
「文書やシステム任せになっていて、人による講習が無いため、どれほど
重要な事なのか実感が沸かない方がいるのではないかと思います。」
（派遣
社員：30 代）
•
「IT の世界で活躍しているにも関わらず、セキュリティに対する対応が
「持ち出し禁止」、
「利用禁止」となるのは非常に残念だと思います。持ち
出ししても、「他者に覗かれない」、「流出が起きない」ような万全なセキ
ュリティが保たれるようになればと思います。
」
（委託先の請負責任者：30
代）
•
「Web サイトを使った ISMS 教育は有効な手段かと思いますが、機械的に
受講している方も多いと思います。4 名から 5 名のチームを組んで、一緒
に受講してもらうと、もっと各要員が真剣に学び、意識するようになると
思います。」
（委託先の請負責任者：30 代）
32

Download Report