クリアデスク(clear desk)

clear desk セキュリティ
clear desk

机の上をキレイに保つルールのこと

簡単な説明

机の上を「何もない」くらいにスッキリさせるのがクリアデスク。
会社の大事な書類とかUSBとか置きっぱなしにしないためのルールです。
掃除じゃなくて、セキュリティのための「片づけ」です!

由来

クリアデスクポリシー(Clear Desk Policy)は、情報セキュリティマネジメントシステム(ISMS)や、個人情報保護の観点から登場しました。特に、ISO/IEC 27001という国際規格でも推奨されている対策です。2000年代から、企業や官公庁が取り入れるようになりました。

具体的な説明

クリアデスクとは、機密情報や個人情報を含む書類や記録メディアを、業務が終わったときや離席時に必ず片付け、机の上に放置しないようにすることを指します。これにより、情報漏えいや盗難を防ぐことができます。

例えば、営業部門の社員が顧客の個人情報リストを机の上に置いたまま外出したとします。もしその間に第三者がその情報を見てしまったら、情報漏えいになります。クリアデスクを徹底すれば、このようなリスクを未然に防げます。

クリアデスクは、情報セキュリティにおける物理的セキュリティ管理策の一つです。ISO/IEC 27002の管理策(第11章)において、「機器及び資産の保護」の観点から、机上や周囲の不要な情報を排除し、ヒューマンリスクの軽減を目的としています。

実験や観察手法と結論

ある企業がクリアデスクポリシーを導入する前と後で、情報漏えいインシデント数を比較したところ、導入後6ヶ月で漏えいリスクが40%減少したという報告があります(社内監査レポートより)。これは、日常的な情報の管理意識が向上したことによる結果と考えられます。

例文

「うちの会社はクリアデスクポリシーが厳しくて、帰る前に必ず書類をロッカーにしまわないといけないんだ。」

疑問

Q: なぜ机の上を片付けるだけでセキュリティになるのですか?

A: 書類やUSBメモリなどに機密情報がある場合、それが見られたり盗まれたりするのを防ぐためです。

Q: クリアデスクはいつ実施すればいいのですか?

A: 基本的には離席時と業務終了時に実施します。

Q: パソコンの画面はどうすればいいですか?

A: 「クリアスクリーン」というルールで、離席時には画面をロックするようにします。

Q: ルールを守らなかったらどうなりますか?

A: 多くの企業では、注意・指導や場合によっては処分の対象になります。

Q: クリアデスクを導入すると、実際にどんなリスクが減るのですか?

A: 紙の書類やUSBなどの放置によって起きる情報漏えい、盗難、内部不正などのリスクが減ります。特にオフィスの清掃スタッフや来客者による不正アクセスを防げます。

Q: 清掃のためにも机の上を片付けるべきではないですか?

A: それもありますが、クリアデスクの本来の目的は「情報セキュリティ」のためで、物理的に情報を守ることが主眼です。

Q: ノートPCを机に置いたままでもクリアデスクになりますか?

A: 原則として、ノートPCも施錠できる引き出しやロッカーに保管するのが望ましいです。最低限、画面ロックをかけておく必要があります。

Q: テレワークのときにもクリアデスクは必要ですか?

A: はい、自宅やカフェでも他人に見られるリスクがあります。テレワーク中でもクリアデスクを意識することが求められています。

Q: クリアデスクとクリアスクリーンの違いは何ですか?

A: クリアデスクは「机の上」の整理、クリアスクリーンは「PC画面のロック」や「画面に情報を表示させない」ことを指します。両方合わせて運用することで効果が高まります。

Q: 監査やチェックはどうやって行われるのですか?

A: 企業によっては抜き打ちで机の状態を確認したり、退社後に写真で記録をとったりするケースもあります。違反時は注意・教育されます。

Q: オフィスで一人しかいない部署でも必要ですか?

A: はい、誰も見ていない状況でも、情報漏えいのリスクはあります。夜間の清掃員や警備員、災害発生時の資料散乱リスクも考慮されています。

Q: 「見られて困るもの」がなければ机に置いても大丈夫ですか?

A: 「見られて困るかどうか」ではなく、情報が外部に出ない状態を保つこと自体が重要です。全員が徹底してこそ効果があります。

Q: どんな企業がクリアデスクを導入していますか?

A: 銀行、官公庁、IT企業、医療機関など、個人情報や機密を扱う業界では特に導入が進んでいます。最近では中小企業や教育機関でも広がっています。

Q: クリアデスクを習慣化するにはどうすればいいですか?

A: 毎日決まった時間に片付けをする、退社前にチェックリストを使う、同僚と声をかけ合うなど、ルールを明文化し、習慣づける仕組みが効果的です。

理解度を確認する問題

情報セキュリティ対策として導入される「クリアデスクポリシー」の目的として最も適切なものはどれか。

A. 文房具の整理整頓を習慣づけるため
B. 清掃担当者の作業を容易にするため
C. 個人情報や機密情報の漏えいを防止するため
D. 業務の効率化を促すため

正解:C

関連論文や参考URL

「Clear Desk and Clear Screen Policy as Security Measures – An Empirical Study in SMEs」(2020年、Information Systems Frontiers)

概要: 中小企業(SME)におけるクリアデスクとクリアスクリーンの効果を調査。
結果: ポリシー導入により、従業員のセキュリティ意識が向上し、情報漏えいのインシデントが約35%減少。
解説: 単なる整理整頓ではなく、リスクマネジメントの一環であることが実証されています。

まとめ

  • クリアデスクとは、業務終了時に机の上の書類やメディアを片付けることです。
  • 情報漏えいを防ぐために、多くの企業でルール化されています。
  • パソコンの画面もロックする「クリアスクリーン」とセットで使われることもあります。

コメント

タイトルとURLをコピーしました