中央省庁によるGoogleグループ問題。少しタイムリーではありませんが、調べてみてわかった情報を整理すると、以下の事項で良いでしょうか。
- 5つの省庁で、内部情報共有ツールとしてGoogleグループを利用。
- グループメンバー限定への公開設定のつもりが、すべてのユーザーに公開されており、機密情報が閲覧可能な状態にあった。
参照:
Googleグループによる情報漏洩、環境省、復興庁、農水省、国交省、厚労省の状況と対応公表:ITpro
Googleグループに残る「非公開のつもり」のメーリングリスト 公開範囲設定に注意を – ITmedia ニュース
で、個人的に気になっているのは、これが「個人の判断で利用されたもの」だったのか、という点と、IT部門としてどの程度ガバナンスを効かせていたのだろうか、という点です。それに関しては、この記事に詳しく書いてありました。
内閣官房情報セキュリティセンターによると、中央省庁の基本的な方針として、「情報の機密性に応じて取り扱いの統一基準があり、外部システムの利用については、許可が必要になる」としている。細かな運用などは各省庁による。 環境省の規定では、職員が外部情報システムを利用する際は届け出が必要で、機密性のある資料を扱う場合は、安全管理措置も義務付けられている。しかし今回届け出は行われず、さらに、重要な情報を扱うにもかかわらず、閲覧制限の措置もとられていなかった。条約交渉後にサービスを停止していなかったことも違反に当たるという。 要するに、今回の件では、グーグルのサービスを使うのは基本的には禁止されていて、問題の関係者らはそれを破ったということだ。
中央省庁だけじゃない「グーグルグループ流出」 専門家「アメリカに監視されている可能性が高い」 : J-CASTニュース
つまり、ルールは設けられていて、個人利用によってルール違反になった、というのが事態の捉え方になります。ただ、それだけでは簡単に済まない問題が含まれています。
ITのコンシューマ化によるユーザーのITリテラシー向上
メインフレーム時代など、昔はIT部門が中央集権的にIT機器やシステムを調達・構築して、それを組織のユーザーが利用する、という形が取られていました。そうなると、IT部門の方がリテラシーも高いですし、機器も高価なので、ユーザーは与えられたものを利用する、という立場でした。
しかし、パソコン・スマートフォン・タブレットなど、IT関連機器は高度化し、価格は低廉化しました。さらに、EvernoteやDropbox、Google関連サービスなど、一般ユーザーが広く使うサービスでも便利なものが次々登場します。そうなることで、いろんな人が「ITの利便性」を理解するようになりました。
一方で、IT部門はリスクや安定性などを重視する点や、組織全体をカバーする役割を担うことから、フットワークが重くなり、次々登場する一般ユーザー(コンシューマ)向けサービスに追いつくことが、難しくなってきました。こうなって、IT部門と一般ユーザーの関係が変わってきたわけです。
BYODとシャドーIT
BYODというのは、個人で利用しているIT機器(パソコンやスマホ)を会社のネットワークなどにつないで、業務利用することを指します。シャドーITというのは、会社が知らないところでIT機器やアプリケーションを利用することを指します。
で、まずBYODはどんどん増加していまして、IDC Japanの調査によると、ユーザー数が2011年の192万人から2016年には1265万人まで、年平均成長率45.8%で増加していくことが予想されています。
2013年 国内BYOD利用実態調査結果を発表
さらに、シャドーIT(会社に無許可)の割合は、約6割から8割を占めるという調査結果になっています。禁止すればいいじゃないか、という話もありますが、そうもいかないところもありまして。MMD研究所の調査によると、私用スマホを業務で使うと、仕事が効率化された、という結果が出ています。
私用スマホの業務利用、7割が「効果あり」–4割弱が外部の連絡先を記録 – ZDNet Japan
つまり、便利なツールがあれば使いたいし、実際便利だと思っている人が増えている、という背景があるわけです。
また、40%以上が個人向けオンラインストレージを仕事で利用している、という調査もあります。サンプル数が少ないので、パーセンテージはあまりあてにならない気がしますが、実際にこうやってコンシューマ向けサービスを仕事で使っている人が存在し、それが増えているのは間違いなさそうです。
40%以上が個人向けオンライン・ストレージを仕事で活用–シャドーITが進展 – CNET Japan
今後のIT部門はどう対応すべきか?
ひとつは、ルールや情報基盤を構築することで、ユーザーが自由と規律を確保しながらツールを使ったり調達できるようにすることです。
CIOは、IT部門ですべてをコントロールすることは無理だということを受け入れ、ITのコンシューマ化がもたらす多大なメリットを認めるべきである。CIOは組織を支援する方法を見つけ出すとともに、組織がおかしな行動を取ることも防がなければならないのである。
“ITのコンシューマ化” は、果たして “シャドーIT” と同義なのだろうか? | Enterprise CIO Forum
個人的には、もうひとつ見方があるんじゃないかと思っています。それは、今後コンシューマから生まれたサービスが、ビジネス向けにアレンジされて、様々なものが今後も登場してくると思います。今は過渡期なんじゃないでしょうか。Googleも企業や政府向けにサービスを提供しています。
Google Apps for Government
[scshot url=”http://www.google.com/enterprise/apps/government/”]
こんな形で、利便性は確保しつつ、セキュリティや使い勝手を企業向けにマイナーチェンジするサービスです。DropboxもEvernoteもビジネス用のサービスを展開しています。
中小企業がDropboxをファイルサーバとして使うのはアリか | Synapse Diary
中小企業でEvernoteを利用するのはアリか | Synapse Diary
DeNAがBYODをやめたりしてますし、BYODバンザイ、というわけでもないと思うんですよね。
ITpro Special BYODから会社支給に切り替え 「アイデア創出」を実現
Yammerなど、社内SNSを導入していれば、ひょっとしてこういう問題も生じないかもしれないですし。
Facebookで内定者を公開状態にwww人事が内定者を晒しあげwwwwww : IT速報
というわけで、ユーザーが使いたいと思うシステムやツールが社内にあれば、そちらを使うと思うんですよね。そういうサービスを見極めて、フットワーク軽く導入していく、という視点が重要になるんじゃないかと思います。