Microsoft 365 セキュリティ

テレワークの個人情報、システム管理者はどこまで把握できる?IT管理プロがぶっちゃけます

2021年4月1日

IT管理者にバレる

コロナウイルス感染拡大のため、急遽テレワーク制度が導入され、自宅で業務の片手間にネットで私的な調べもの…

監督の目がなく、何とも気楽でいいですよね。

でも、会社にはお使いのPCから社内業務システムまで、監視している「ITシステム管理者」必ずいるはずです。

そこで今回、「IT管理者があなたの動向、個人情報どこまで把握できるのか」IT管理15年プロである筆者が、ぶっちゃけたいと思います。

テレワークで気になるポイント

  • どこまでIT管理者に監視されてるの?
  • 個人情報は大丈夫?
  • 業務以外利用どこまでバレる?

テレワーク業務のシステム環境は主に2通り

テレワークで働くためのシステム環境は、主に2通りあります。

  1. 会社貸与PCで業務する
  2. 私物のPCで業務する

まず、会社PC利用におけるシステム管理者が把握できてしまうことです。

1.会社貸与PCのテレワークでシステム管理者にバレること

企業で使うPCですので、PCの状態をチェックするソフトがインストールされている前提です。

  • ウイルスチェックソフト
  • PCインベントリ(状態収集)

この場合バレることは、次の2点です。

  • IPアドレスから位置情報を特定されている
  • どのシステムを、どのユーザー名で、いつ、どのように使用しているのか
  • ブラウザーからアクセスしたURLもバレる

つまり、PCでやっている事は「ほぼ筒抜け・お見通し状態」なんですよー

2.私物PCのテレワークでシステム管理者にバレること

ネットの社内アクセス(VPN接続)また、業務でクラウドサービス、例えば  Microsoft365(旧Office365) を使っている場合にバレることです。

  • IPアドレスから「位置情報がほぼ特定」されている

補足しますと、もし会社からウイルススキャンソフト、またはPC状態チェックツールのインストールを指定された場合、会社貸与PCと同じ範囲のことがバレていますよ。

  • どのシステムを、どのユーザー名で、いつ、どのように使用しているのか
  • ブラウザーからアクセスしたURLもバレる

個人情報とは?「個人を識別し、特定できる情報

例えば「名前は個人情報でしょ?」でちょっと説明しますと…

「田中 実さん」というお名前、日本で一番多いと言われていて、その数は約5300人だそうです。

この場合、「田中 実」さんだけでは「個人を識別、特定できない」ため、個人情報の括りとしては微妙なラインになります。

ですが、「生年月日」が補足されると、途端に絞られてきますよね?

役所勤務の方からすれば、 「個人を識別、特定できる」ため個人情報になります。

このように、「単一の情報では個人情報にはならないが、複数組み合わされると個人情報になる」ということを、覚えておいたほうがよいでしょう。

ちなみに「住所」は、その情報だけで所在が特定できるため、単一の情報でも「個人情報」の扱いになります。

IPアドレスでPC使用場所がバレるって、個人情報だよね?

よく論争になるのが、「IPアドレスからの位置情報キャッチ」すなわち「個人情報じゃないの?」解説していきます。

自宅から社内外問わず、業務で使うシステムにアクセスするには、必ずインターネットを通り、「IPアドレス(ネットワークの住所)」が必要です。

このIPアドレスですが、「インターネットプロバイダー」「スマホキャリア」の基地情報を識別することができるんですね。

IPアドレスだけであれば、個人の識別・特定は困難であり、「個人情報に相当しない」このように整理されています。

ですが、テレワークにおけるIPアドレスから位置情報の特定、それをシステム管理者が知る前提であれば、個人情報です。

IPアドレスとユーザIDを照会すれば、個人を識別し、居住も特定できるからですね。

そのため当サイトでは、テレワークにおけるIPアドレスは個人情報であるこの位置づけで話を進めます。

IPアドレスからどのような位置情報を取得できるのか?

直接リンクは控えますが、下記URLにアクセスするとわかりますよ。

■アクセス情報【使用中のIPアドレス確認】 - cman.jp
https://www.cman.jp/network/support/go_access.cgi

自宅からシステムを使うことでバレる情報は3つ

会社で Microsoft365(旧Office365) を業務利用し、自宅で個人のノートPC HP Elite Dragonfly (ドラゴンフライ) を使っている場合を例に説明します。

項目名アクセスログの例
利用デバイスデバイス名:LAPTOP-****
OSバージョンWindows 10.0.*****.0
ブラウザーChrome、Edgeといったブラウザー名
アクティビティUpdate device(デバイスで何を行ったのか)
利用場所IPアドレスから都道府県
IPアドレス***.***.***.***
利用情報ユーザー名
アプリケーションSharePoint、Outlook、Teams
認証多要素、単一要素

ご覧の通り、各種バージョンまで取得できてしまいます。

そのため、使用している環境・バージョンにセキュリティリスクがある場合、システム管理者から何かしらの指摘を受けるケースもあります。

アクセスしているサイト、ぜんぶシステム管理者にバレます

VPN接続、ウイルス対策ソフト、または会社指定で使っているブラウザーからでもシステム管理者は把握できます。

そのため、TwitterといったSNS閲覧や投稿、またはムフフなサイトを徘徊するような行為は...

ぜんぶバレていますよ?

気をつけましょうね。

メモ


いくらシステム管理者でも、手前都合でSNSやムフフなサイトを「業務とは無関係」と切り分け、アクセス制限するのは越権行為です。
そのため、やましい何かがバレるタイミングとしては、「セキュリティ事故が発生したタイミング」と思って頂いた方がよいでしょう。

サイトに入力するIDパスワードはシステム管理者にバレる?

会社貸与のPCを使う場合、社内の情報管理規程にもよりますが、たとえシステム管理者であろうとブラウザー入力・IDやパスワードまで取得してはいけません。

特に私物PCの場合は、情報の所有者は個人に帰属しますので、個人の許可を得ずに入力情報を取得するようなことは、絶対にしてはいけませんよ。

そのため、もしあなたが許容していない範囲で、個人の情報を収集されているような場合、たとえどのような理由があっても違法です。即刻、収集した個人情報の削除を会社に要請した方がよいでしょう。

ECサイトで私的な買い物をしたらバレること

もし楽天市場で私用の買い物をしたら…

次の情報がバレてますよ。

  • 購入した商品(URLからバレます
  • 場所、時間、デバイス情報

自らの個人情報を収集されるような行為、業務中はやめておいた方がいいですよ。

Microsoft 365を使って行うことは「全部バレる」

例えば、次のようなことを会社に黙ってやったとします。

  • SharePointやOneDriveのデータを共有し社外へ持ち出す
  • 私的に使っているデータを会社のOutlookメールへ送り社内に持ち込む

Microsoft 365全体管理者が監査ログを調べれば、すべてバレます。

またデータの私的な出し入れだけではなく、内部不正監査を目的とした、「電子情報開示」という機能もあります。

電子情報開示を使うと、メール文章やTeamsのチャットすべて丸わかりになる、大変恐ろしい機能なんですね。

Teams自分のみ、マイチャットも例外ではありません

そのため、通常の企業であれば「インシデント発生時、承認制で使う」など、普段は使わないようにしている(はず)です。

ですが中小企業、非上場の企業であれば、電子情報開示を使うための統制管理までは手が回らない事実もあります。

そのためシステム管理者は「システムを私物化しない、責任感ある、全幅の信頼を寄せられる」このような方を人選しなければなりませんね。

電子情報開示についての詳細を知りたい方は、Microsoft 365の記事を読んでみてください。

Microsoft Teams のコンテンツに対して電子情報開示の調査を行う

まとめ

IT管理者のぶっちゃけ話でした。

システム管理者であれば、PC利用実態であれば事細かく把握できると思っていた方がよいでしょう。

特に会社PCを業務目的以外で使用するのは、やめておきましょうね。

監視されている範囲を理解し、業務用PCを私用で使わないことをおすすめします。

  • この記事を書いた人

どうなの

ITとITをつなぐ【ICTライフサイクル管理】15年のプロ。 企業5社を渡り歩いた知見からの『ICTでお悩み解決、生活品質&生産性アップ』なノウハウを情報発信しています。

-Microsoft 365, セキュリティ