「ウチもペーパーレス化」の前に知りたいセキュリティの注意点 “現場にお任せ”がリスクにつながるワケ：「セキュリティに理解のない経営者」にならないために

[吉川大貴，ITmedia]

　いま、ペーパーレス化に踏み切る企業が増えている。電子帳簿保存法の改正で2024年にはデータとして受け取った請求書などを紙で保存できなくなる他、紙の削減はSDGsへの貢献にもつながるからだ。一方、これまで紙で保存していた情報を電子データ化することで、新たなセキュリティリスクが生まれる可能性もある。

　「紙を電子データにすることで、紛失などの問題を回避できるように見えるかもしれない。しかし、実際はリスクの種類が変わるだけ。重要なのは、得られるメリットに対し、組織としてどんなリスクを抱えるのかよく考え、コントロールできる体制を作ること」

情報セキュリティ大学院大学の藤本正代教授

　こう話すのはセキュリティ教育に特化した私立大学、情報セキュリティ大学院大学（横浜市）でリスクマネジメントなどを専門に研究する藤本正代教授だ。

　安全なペーパーレス化を実現するにはどのような点に気を付けるべきか。重要になるのは、経営層やソリューション導入の決裁権者、管理職などのリーダーシップだという。

特集：DXでリスク増大　経営層が知っておきたい情報セキュリティの課題と対策

デジタル庁の創設や印鑑・FAXの見直しなど、官民でDXが進んでいる。一方、DXによる利便性の拡大は常に情報セキュリティのリスクを伴う。そこでポイントになるのが、経営層や管理職によるセキュリティへの理解とリーダーシップだ。この特集では、経営者向けの解説や最新事例、ソリューションをお届けする。

データの価値を判断できるのは経営層

　藤本教授によれば、ペーパーレス化は「書類をたくさん印刷するので紛失・盗難が起きやすい」「誰でも閲覧できてしまう」といった紙の問題点を解決できる一方で「保管しているサーバなどに問題が起こると資料を閲覧できなくなる」「不正アクセスを受けたときのダメージが大きくなりやすい」といったデメリットもある。

　デメリットを回避するには、SaaSやマルチクラウド、ハイブリッドクラウドを採用し、情報の重要度などを基に保存場所を分散したり、電子データとして保存すべき情報とそうでない情報を切り分けたりして、トラブル発生時の被害を抑える工夫が必要になる。

　だが、社内にある情報が経営にとってどれだけの重要度を持つかといった判断は、現場スタッフや外部人材にはできないことが多い。安全なペーパーレス化を実現するには、データの価値を判別できる経営層や管理職のリーダーシップが欠かせないという。

　「価値を生み出さない情報を『一応取っておこう』と電子データで保存したとしても、リスクを増大させるだけ。経営における重要度や法改正といった背景を踏まえ、ペーパーレス化で生まれるリスクに対してどれだけのメリットを取れるかを、あらゆる手段を視野に入れて考えなければならない」

注意すべきは「移行期」のスキ

　安全なペーパーレス化のために注意しておくべき点はもう1つある。紙から電子データへの移行期など、2種類の情報が併存しているタイミングが、最もセキュリティリスクが高いことだ。

　「セキュリティ対策の観点では、全ての情報を電子データ化したほうが安全性は確保しやすい。紙と電子データ、両方のオペレーションが同時に走ると、ルールの策定や周知がそれだけ複雑化する。移行期だけ人を倍増するわけにもいかないので、危険な時期になりやすい」

　リスクを抑えるには、事前に移行の計画を詳細に定めておく必要があると藤本教授。移行に先んじたルールの策定や、どんな業務や部署からペーパーレス化を始めるかといった計画を、外部の専門人材などと協力してあらかじめ練っておき、移行時の混乱を少しでも抑えられるようにすべきという。

　ルールや計画の策定においても経営層・管理職のリーダーシップは重要だ。社内リソースをどれだけ割くか、電子データへの移行を優先すべき分野や部署はどこかといった判断が必要になる。藤本教授は「技術を導入すれば万事解決ではない。人材の確保など、管理層が力を入れて主体的に取り組む必要がある」と強調する。

「セキュリティに難があるからDXを断念」はNG？

　実践に当たってはいくつもの注意点があるペーパーレス化。ただし藤本教授は、セキュリティを理由にペーパーレス化を取りやめるような判断をすべきではないと話す。

　「例えば中小企業の場合、大手の取引先が『これからの取引は電子データで』と言い出したとき、ペーパーレス化できているかいないかで差が出る。DX推進に当たってセキュリティ対策を壁と捉えるのはなく、セキュリティリスクを管理できるような形でDXを進めていく考え方が大切だ」