リモートオフィスのする／しない

コロナウィルスのおかげで、こうして多様な意見が出るようになってきた「働きかた」に関する考え方。でも、 #リモートオフィス にはどうしても切っても切れない深い溝があります。

それは

　情報セキュリティ

社内の仕事の情報を家に持ち帰るかどうか、オフィス外に持ち出すかどうかは、その会社が決めればいいことですけど、お客さまの情報や個人データをオフィス外に持ち出すことについては、色々と問題があります。いくら働きかたに対して「自由」を訴えても、他人に迷惑をかけていい自由まで認めるわけにはいきませんからね。

個人データの場合

「個人情報」と「個人データ」 違いは？【Ｐマーク取得の基礎知識】 | Pマーク(プライバシーマーク)取得・更新コンサルで業界NO1　安い早いは当たり前

個人データとは“個人データベース等を構成する個人情報”です。個人情報よりも定義が狭められていることに注目してください。

そもそも「個人データベース等」とは検索できるように個人情報を整理したものです。パソコンで一覧化されたものはその最たる例ですが、それ以外にも紙の台帳で体系的に管理・更新されているものなども含むということです。

この取扱いは「個人情報の保護に関する法律（通称、個人情報保護法）」の

　第16条「利用目的による制限」
　第20条「安全管理措置」

に従わなければなりません。いかに、コロナウィルスが猛威を振るい、個人の生命をおびやかすと言っても、そのせいで勝手に家に仕事を持ち帰ってしまって

　「他人の個人情報が漏洩させてしまって、
　　他人の人生に甚大な被害を与えちゃいました！ﾃﾍｯ☆」

と言って済む問題にはなりません。損害賠償請求、民事罰は当然、企業や担当者個人に対しては最悪、刑事罰が下ることもあり得ます（第７章 第82～88条）。

e-Gov法令検索

何かしらサービスを運用している場合、登録されているユーザー情報や、展示会やセミナーなどを実施している企業であれば、そこへの会員や来場者、そしてほとんどの企業にありがちなのは「採用」に関する学生の個人情報などですね。

この辺りは、普通にクラウドを利用する場合でも、懸念事項としてよく議題になります。

だって、サービスを運用しているのは自分の会社であっても、データそのものはクラウド業者の中で管理されていたりしますからね（もちろん、アプリケーションサーバーをクラウドに置いて、データベースサーバーのみ自社で運用する…と言った方法もありますが）。

個人データ以外の場合

お客さまから借用している情報や、社内でも機密情報（財務会計や人事、新事業など）と言われているものですね。

Ｂ２Ｂでソフトウェア開発しているＩＴ企業であれば、上流工程の「仕様書」「設計書」群はほぼほぼ機密情報です。なぜなら、ユーザー企業が新しい事業を始めようとしていたり、大規模なＩＴ投資を行って、刷新しようとしたりする情報は、そのままインサイダーにつながりかねない情報だからです。

インサイダー（内部者）取引とは、会社の株価に重要な影響を与える「重要事実」を知って、その重要事実が公表される前に、特定有価証券等の売買を行うこと。

で、金融商品取引法において

　第166条「会社関係者の禁止行為」
　第167条「公開買付者等関係者の禁止行為」

等によって固く禁じられています。このあたりは、金融商品取引法施行令や内閣府令などでも詳しく規制されているため（超読みづらいですが）、安易に社外に持ち出すことが許されません。持ち出して、もし第三者に情報が漏洩し、そのうえで株の売買などが行われた場合、重い刑罰が科されることになります。

当の本人に、悪意が無かったとしても！です。

また、同様に、お客さまとの『契約』によって機密情報取扱いについても、色々と締結されているはずです。大抵の場合は、基本契約書の中にしっかりと記載されているでしょうけど、依頼されたプロジェクトの特性ごとに個別契約書内で規程されていることも多いかも知れません。

まずはこちらをお客さまとの取り決めにおいて改めない限り、勝手に社外に持ち出すことは許されません。

どんなに個人の生命がかかっていても、それが契約を一方的に無視して良い理由にはならないのです。

方法は無いのか？

そんなことはありません。

もしも、ＰＣで作業するような仕事であれば、一番現実的なのはシンクライアントでしょうか。小難しい機構は置いておくとして、わかりやすく言えば、リモートデスクトップみたいなもの（？）と言えばいいでしょうか。

今さら聞けない！シンクライアントの種類とその特徴 | エス・アンド・アイ

クライアント端末の機能を最小限にし、アプリケーションやデータをサーバー側で実行し、管理する仕組みのことです。

なので、データは会社の中から物理的に移動しませんので、仮にクライアントのＰＣが破損したり、盗まれたりしても、そのＰＣの中には何一つデータは入っていないため、困らない…と言ったものです。

とはいえ、これも万能ではありません。

たとえば、カフェ等で仕事をしているときに、後ろから覗き込まれて情報が筒抜けになる…と言った事態は避けられません。

それにシンクライアント自体、一時期よりは多少安くなったみたいですけど、１人１台貸与して良いかどうかと言われると…価格的にどうなんでしょう。資本が潤沢にある大手企業はイケるでしょうけど、中小、零細企業などは少し厳しいのではないでしょうか。

VDI（デスクトップ仮想化）方式の場合、

VDI 導入の初期費用とランニングコストはどのぐらい？ | NE + Azure

通常のPCクライアントの場合の導入費用は、1台当たり10万円前後が一般的です。VDIの場合は、上記の環境構築等の代金を含めると1台当たり20～30万円が相場だと言われています。

当社の調査によると、全体で1,200ユーザーの場合でハードウエア費用が1台約15万円、ソフトウエア費用が11万円、導入費用が2万円の合計1台当たり約28万円となっています。（1200ユーザー総額で約3.35億円）

また、上記は1200ユーザー時の試算ですが、ユーザー数が一定以下になると1台当たりの費用が極端に高くなり、300ユーザーで約35万円、100ユーザーでは約58万円になります。これはユーザー数に関係なく最低限購入する必要のあるハードウエアにかかる費用を、少ないユーザー数で分割するためです。

と言った話もあります。私のいる会社では、まだ導入検討されたことがないので、あくまでサイト上から適当に情報を引っ張ってくるしかないのですが、既存環境を捨てて乗り換えるにしても、単純計算でこのスイッチングコストが必要と言われると、それなりに厳しいかも知れません。

リモートオフィスの恩恵

とは言え、私もリモートオフィスがダメだと言っているわけではありません。むしろ推進派です。

なにより、通勤コストがゼロになると言うのは、ビジネスパーソン一人ひとりにとって、社会人人生の1/10（片道１時間＋αと仮定）を無駄にしなくて済むと言うことですからね。働きかた改革を謳うなら、確実に導入した方が良いと、私も思います。フリーランスの方々がそうされているのも、要するにこういうところが一因だったりするのでしょう。

それに、コロナウィルスをはじめ、インフルエンザ等のウィルス疾患の感染被害に遭う機会は極端に低下します。移動時間や体力の消耗が減少した分、多少残業が増えたところで、パフォーマンスが上がる可能性もでてきます。

ただ、今までの日本社会では「通勤させる」ことが大前提で社会構築されてきた関係上、多くの企業において、リモートオフィスを行うためのインフラが整備されていません。そのことも念頭に置いて進めるべきだと言っているのです。

んー…そう言えば、リモートオフィス化が進み、誰も交通機関を使わなくなったり、オフィスに出社しなくなったら、不動産や交通機関のビジネスってどうなるんでしょうね…。

都心でも、３０分に１本しか電車が来なくなったり、オフィス街なんてものが必要なくなって、どこもかしこも空き店舗になったりするのでしょうか。

なんか、結果的に景気が悪くなりそうな気がしないでもないですね。

最後に

こうした諸々の事情を踏まえ、

　・法に抵触しない
　・契約に抵触しない
　・抵触しにくい環境が用意できる

場合に限り、リモートオフィスの活用が可能になるのではないでしょうか。いわゆる、

　・機密情報ではない情報だけで仕事が進む

ものは、今すぐにでも可能…と言うことです（設計書や仕様書は無理でも、プログラミングだけなら…いや、でも読まずに作れないか。あ、でも社内パッケージやサービスなら、その会社が許せばいいのかも）。

まー、どちらにしても従業員一人ひとりのセキュリティリテラシーを向上させないと、ただ単に

　「出社しなくていい―！ﾋｬｯﾊｰ!!」
　「満員電車乗らなくてラッキー！ﾋｬｯﾊｰ!!」

と言っているだけでは、仮にきちんと成果を出していたとしても、いつか情報漏洩や紛失事故を起こしてしまいそうで、経営者としては、他の従業員の人生にも関わることですし、安易に「OK」とは言えないかもしれませんね。