従業員の退職処理に対するIT部門の関与
また、退職者から訴訟を起こされたり、会社自身が訴訟を起こす事態に備えて、一部の技術リソース、データ、およびログを保存しておくのが賢明である。加えて、退職処理を万全に管理し、Sarbanes-Oxley法の要件を満たすためにも、IT部門の関与が不可欠である。
情報セキュリティ・ポリシーやデータ保管ポリシーは、各企業固有のものであり、会社の業務を規定する法規に合わせることが必要だ。とはいえ、おおまかな原則はある。従業員の退職時および退職後に企業が順守すべき、IT関連のおおまかな原則としては、少なくとも次の3つが挙げられる。
(1)退職の即時通知:退職者が出るときに(または出た後で)誰が誰に通知すべきかを明確に定めたポリシーを、すべての企業が厳密に適用する必要がある。また、このポリシーでは、こうした通知を直ちに行うよう義務づけることも必要だ。
通知先には、情報セキュリティの担当者も含めること。この担当者は、電子的に保存された内部情報およびその情報システムに対して従業員が持つアクセス権について、調査、文書化、および失効を行う責任がある。
(2)アクセス権の的確な失効:従業員の退職時には、IT部門は、コンピュータ、ネットワーク、およびデータに対してその従業員が持つすべてのアクセス権を直ちに失効させる必要がある。リモート・アクセスを無効にすることも必要だ。加えて、企業の所有物(たとえば、ノートパソコンなどの技術リソースや、顧客情報、販売情報、マーケティング情報を保持する企業ファイルなどの知的所有物)についても、退職者からすべて没収する必要がある。
ただし、まだ在職期間が残っている従業員の場合には、IT部門は、その従業員の上司、人事部門、その他の主要な意思決定者に相談のうえ、残りの在職期間のアクセス権失効をどのように実施していくかについて、適切な方法を判断すること。
アクセス許可を付与したり、機密情報の使用許可を与えるときには、それについて文書化して後から参照できるようにすることが必要だった。それと同じで、アクセス権の失効も、特に法的な理由から、文書化が必要である。当然ながら、アクセス権の失効は、経済面、技術面、法律面のそれぞれから見て実務上適切な方法で行うことを常に目指すようにする。
(3)先制的なデータ保存:業務上のニーズを満たし、該当する法規にも適合するような、データ冗長性およびデータ保管のポリシーを、すべての企業が定める必要がある。こうしたポリシーでは、企業データ全般のバックアップ、復元、および保存について規定する。
ただし企業は、特に高い機密性を持ち得るデータ、レコード、ログ、およびその他の素材(自社と退職者との間で法廷闘争が万一起きた場合に法律上重要な意味を持ち得るもの)の保存に、IT部門がいつどのように着手するかについても、詳細なポリシーを定めておく必要がある。退職者が高い役職にあった場合や、疑惑の渦中で退職した場合には、これを行うことはとりわけ重要である。
以上の3つの原則を自社に合わせて適用するうえでは、企業の上層部、IT部門、人事部門、および弁護士が力を合わせて取り組むことが必要だ(ここで言う弁護士とは、コンピュータ・フォレンジックや、企業におけるコンピュータ技術の使用について定めた法律を専門とする弁護士である)。
こうした協力の結果として、企業データをいっそう強固に保護できるほか、企業データの盗難やハッキングなど、違法または悪質な形でコンピュータ技術が使用されたことに関連する訴訟に対して、備えを固めることができるはずだ。
Richard Jones はフリーランス・ジャーナリスト。ミシガン州デトロイトの企業でシステム管理者を務めている。
Copyright (c) 2005 richard jones. All right reserved.
原文
