弁護士事務所が新しいスタッフを採用するとき——IT環境の整備と情報管理教育のタイミング
- 5月14日
- 読了時間: 3分
新しいスタッフを採用するタイミングは、IT・セキュリティ体制を見直す絶好の機会です。
なぜなら、「今まで問題なかった運用」が、人が増えることで問題を引き起こすことがあるからです。また、新しい人間を迎える際に整備することで、「最初から正しい習慣」で仕事を始めてもらえます。入社後に「以前の職場ではこうしていたから」という習慣を持ち込まれる前に、事務所のルールを明確にすることが重要です。
採用時に必ず整備すべき3点
アカウントの発行手順を決める——
Microsoft 365・Googleアカウント・給与ソフト・クラウドサービス、これらのアカウントをどう発行し、どの権限を付与するかの手順を文書化してください。「その都度考える」運用では、権限の付け漏れや過剰付与が起きます。入社時のチェックリストとして「〇〇のアカウントを発行、□□の権限を付与、△△の研修を実施」という形で明文化してください。
アクセス権限を役割に合わせて設定する——
新スタッフが担当する業務の範囲を確認し、必要最小限の権限を付与します。「とりあえず全部見られるように」という設定は内部漏洩リスクの観点から問題があります。担当外の案件情報に最初からアクセスできる状態は、意図せず守秘義務問題を引き起こす可能性があります。
端末の準備——
会社管理の端末を用意し、BitLocker・ウイルス対策・Intuneへの登録を完了した状態で渡す。初日から「正しい端末で仕事を始める」状態を作ります。「とりあえず個人PCで仕事を始めてもらう」という運用は、セキュリティ上の問題を生みます。
入社時のセキュリティ教育
入社オリエンテーションに、最低15〜30分のセキュリティ説明を組み込むことをお勧めします。
説明すべき内容は以下の通りです。パスワードの管理方法(パスワードマネージャーの使い方)。業務データの保存場所(個人PCや私用クラウドへの保存禁止)。不審なメールへの対応(開く前に確認)。SNSへの投稿ルール。紛失・インシデント発生時の連絡先。
「口頭で伝えた」だけでなく、文書化されたものを渡し、読んだことを確認してもらうことで、記録が残ります。この記録が、後に「教育義務を果たしていた」という証明になります。
試用期間中のモニタリング
新スタッフが入社して最初の数ヶ月は、操作ログを通常より注意して確認することをお勧めします。「悪意を疑う」という趣旨ではなく、「誤った操作が早期に発見できる」ことを目的とします。
問題が小さいうちに発見・修正できれば、本人にとっても事務所にとっても望ましい結果になります。「入社3ヶ月後に大量のファイルをダウンロードしていた」という異常も、ログがあれば検知できます。
退職者と新入職員の権限管理を連動させる
人が入れ替わるタイミングで、退職者の権限削除と新入職員の権限付与を同時に行う仕組みを作ってください。
「人事異動があった際の情報管理チェックリスト」を1枚用意しておくことで、どちらかが漏れることを防げます。退職者のアカウントを消すことと新スタッフのアカウントを作ることを、同じチェックリストで管理することで、処理漏れが起きにくくなります。
採用・退職時のIT整備を含む現状確認の無料診断を実施しています。
▶ 士業向けIT・セキュリティ整備サービス
行政書士事務所みまもり
セキュリティ研究者・デジタルフォレンジックエンジニア
成田 浩志
