シャドーITが罰金刑になるケースも コラボツールの利用ルールはここが難しい：コラボレーションツールの利用とGRC【第3回】

コンプライアンスの問題を回避するために、コラボレーションツールの特定機能を使えないように制御するのは一つの方法だが、シャドーITを生むリスクがある。米国金融機関の事例から、注意すべきポイントを探る。

[Katherine Finnell，TechTarget]

　コラボレーションツールに蓄積されるデータは、GRC（ガバナンス、リスク管理、コンプライアンス保持）の観点から慎重な取り扱いが必要だ。コラボレーションツールの業務利用に潜むリスクと企業が取るべき方策について考察する。

「危険な機能は禁止しよう」という判断が招いたリスクとは

併せて読みたいお薦め記事

連載：コラボレーションツールの利用とGRC

• 第1回：その発言はコンプラ違反？　コラボツールのデータ保存時に決めるべきルール
• 第2回：進化し続けるコラボレーションツールに頭を抱える“あの部門”

従業員の「メッセージングアプリ」使用に注意

• WhatsAppなどの「メッセージングアプリ」を使った銀行に罰金　何が問題なのか？
• 従業員の「勝手なメッセージングアプリ利用」がもたらす“由々しき”事態とは

　コラボレーションツールの特定の機能をオフにしておけば、ガバナンスやコンプライアンスの基準に反する事態を引き起こさずに済むと考える向きもある。ユニファイドコミュニケーション（UC）システム向けのガバナンスおよびセキュリティツールベンダーTheta Lakeが2023年10月に公開した年次調査レポート「The Theta Lake Digital Communications Governance, Compliance and Security Report」によると、68％の回答者がコメント欄の絵文字機能やWeb会議のチャット機能、ファイル共有時のコメント機能、画面共有などのコラボレーション機能を無効化していた。同調査は、米国と英国の金融機関においてITおよびコンプライアンス分野の専門職を務める約600人を対象としている。

　ただしこれらの機能を無効にすると、企業が認可していないソフトウェアを従業員が無断で使う「シャドーIT」の問題が発生する恐れがある。「そのような状況に陥れば、監視の目が届かず、従業員が何をしているかを把握できなくなってしまう」。Theta Lakeのレギュラトリーインテリジェンス担当ディレクター、ステイシー・イングリッシュ氏はそう警告する。

　従業員がMeta Platformsの「WhatsApp」やSignal Foundationの「Signal」などのコンシューマー向けメッセージングアプリケーションを勝手に業務で使用した結果、監督不十分を理由に制裁金の支払いを課せられた事例がある。大手金融機関Wells Fargo & Company（Wells Fargoの名称で事業展開）は、同社が認可していない通信手段であるWhatsAppを従業員が業務連絡に使用していたことで、米国証券取引委員会（SEC）に1億2500万ドルを支払った。SECは金融機関に対して、業務上の通信データを適切に記録しているかどうかを監督している。各社報道によると、Wells Fargoの従業員がWhatsAppを利用した際の通信記録を保持していなかったことも規制要件の違反と見なされた。

　従業員が未承認のコラボレーションツールを使用するのを防ぐ方法の一つは、同意書の作成だ。セキュリティベンダーNullable（Awareの名称で事業展開）の最高法務責任者（CLO）を務めるブライアン・マンニオン氏は、同意書にコラボレーションツールの使用方法と行動規範を含めておくことを推奨する。

　未承認のコラボレーションツールを従業員が使った場合に企業に生じるリスクは、制裁金だけではない。「企業が承認したコラボレーションツールの投資利益率（ROI）を達成できないこともリスクだ」とマンニオン氏は指摘する。コラボレーションツールの導入にはコストが掛かる。せっかく導入しても適切に管理できなければ、従業員は便利さを求めて別のコラボレーションツールを探す可能性がある。結果としてROIを達成できなくなるというのが同氏の見解だ。

---

　第4回は、GRCに即したコラボレーションツールの使い方を社内に定着させる上で必要な、部門同士の連携について解説する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。