テレワークの個人情報「どこまでシステム管理者は把握できる?」ぶっちゃけます

コロナウイルス感染拡大のため、急遽テレワーク制度が導入され、自宅で業務の片手間にネットで私的な調べもの…

監督の目がなく、何とも気楽でいいですよね。

でも会社には、お使いのPCから社内業務システムまで、チェックしている「システム管理者」必ずいます。

そこで今回、システム管理者があなたの動向、個人情報どこまで把握できてしまうのか?システム管理すること15年現役である筆者が、

ほぼ全部バレている事実、

ぶっちゃけます。

この記事で説明すること

  • システム管理者が監視している実情
  • そもそも個人情報とは?バレている範囲
  • 恐るべきMicrosoft365監視機能の正体

テレワーク業務のシステム環境2通り

テレワークで働くためのシステム環境は、主に2通りあります。

  1. 会社貸与PCで業務する
  2. 私物のPCで業務する

まず、「会社PCを使っていてシステム管理者にバレること」です。

テレワークでシステム管理者にバレること【会社貸与PC】

企業で使うPCですので、PCの状態をチェックするソフトがインストールされている前提です。

  • ウイルスチェックソフト
  • PCインベントリ(状態収集)

この場合バレることは、次の2点です。

  • IPアドレスから位置情報を特定されている
  • どのシステムを、どのユーザー名で、いつ、どのように使用しているのか
  • ブラウザーからアクセスしたURLもバレる

つまり、PCでやっている事は「ほぼ筒抜け・お見通し状態」なんですね。

テレワークでシステム管理者にバレること【私物PC編】

ネットの社内アクセス(VPN接続)また、業務でクラウドサービス、例えば  Microsoft365(旧Office365) を使っている場合にバレることです。

  • IPアドレスから「位置情報がほぼ特定」されている

補足しますと、もし会社からウイルススキャンソフト、またはPC状態チェックツールのインストールを指定された場合、会社貸与PCと同じ範囲のことがバレていますよ。

  • どのシステムを、どのユーザー名で、いつ、どのように使用しているのか
  • ブラウザーからアクセスしたURLもバレる

個人情報は「本人を特定できる情報」

例えば「名前は個人情報でしょ?」でちょっと説明しますと…

「田中 実さん」というお名前、日本で一番多いと言われていて、その数は約5300人だそうです。

この場合、「田中 実」さんだけでは「どの誰まで、本人を特定できない」ため、個人情報の括りとしては微妙なラインになります。

ですが、「生年月日」が補足されると、途端に絞られてきますよね?

役所勤務の方からすれば、 「本人を特定できる」ため、個人情報となります。

このように、単一の情報では識別できないが、複数組み合わせると本人が特定できる、つまり「個人情報」であるということを覚えておいたほうがよいでしょう。

IPアドレスで位置情報バレるのは個人情報?

ネットワーク上の「住所=IPアドレス」ですね。

よく議論になる、

「IPアドレスからの位置情報の特定って個人情報じゃないの?」

解説していきます。

まず、IPアドレスだけでは個人情報に相当しません。

なぜなら、IPアドレスから特定されるのは、「インターネットプロバイダー」または「スマホキャリア」の基地局の場所くらいだからです。

ですが、テレワークにおける「IPアドレスから位置情報の特定」から、「ユーザー名と利用者名を結びつけ、本人を特定できる」システム管理者の立場からすれば、「個人情報」と判断してよいでしょう。

よって、当サイトはテレワークにおけるシステム管理者が把握するIPアドレスは「個人情報である」この位置づけで話を進めていきます。

IPアドレスからどのように位置情報を取得できるのか?直接リンクは控えますが、下記URLにアクセスするとわかりますよ。

■アクセス情報【使用中のIPアドレス確認】 - cman.jp

https://www.cman.jp/network/support/go_access.cgi

自宅からシステム使うとバレる情報3つ

会社で Microsoft365(旧Office365) を業務利用し、自宅で個人のノートPC HP Elite Dragonfly (ドラゴンフライ) を使っている場合を例に説明します。

項目名アクセスログの例
利用デバイスデバイス名:LAPTOP-****
OSバージョンWindows 10.0.*****.0
ブラウザーChrome、Edgeといったブラウザー名
アクティビティUpdate device(デバイスで何を行ったのか)
利用場所IPアドレスから都道府県
IPアドレス***.***.***.***
利用情報ユーザー名
アプリケーションSharePoint、Outlook、Teams
認証多要素、単一要素

ご覧の通り、各種バージョンまで取得できてしまいます。

そのため、使用している環境・バージョンにセキュリティリスクがある場合、システム管理者から何かしらの指摘を受けるケースもあります。

アクセスしているサイト「ぜんぶシステム管理者にバレる」

VPN接続、ウイルス対策ソフト、または会社指定で使っているブラウザーからでもシステム管理者は把握できます。

そのため、TwitterといったSNS閲覧や投稿、またはムフフなサイトを徘徊するような行為は...

ぜんぶバレていますよ?

気をつけましょうね。

やましい何かがバレるタイミングとしては、「セキュリティ事故が発生したタイミング」と思って頂いた方がよいでしょう。

いくらシステム管理者でも、手前都合でSNSやムフフなサイトを「業務とは無関係」と切り分け、アクセス制限するのは越権(えっけん)行為、つまり行き過ぎた行為です。

サイトに入力するIDパスワードはシステム管理者にバレる?

ブラウザー入力・IDやパスワードまで取得してはいけません。

会社の情報管理規程にもよりけりですが、これではハッカーと同じですので、たとえシステム管理者であってもNGです。

特に私物PCの場合は、情報の所有者は個人に帰属します。

よって、本人の許可なしで情報を搾取するようなこと、絶対にしてはならないことです。

もしあなたが「認識していない」「許容していない」範囲で情報収集されているようであれば、どのような理由があろうと違法です。

即刻、収集した個人情報の削除を会社に要求した方がよいでしょう。

ECサイトで私的な買い物したらバレる

もし楽天市場で私用の買い物をしたら、下記がバレます。

  • 購入した商品
  • 場所、時間、端末の情報

自らの個人情報を収集されるような行為、業務中はやめておいた方がいいですよ。

Microsoft 365 使うなら全部バレる

例えば、次のようなことを会社に黙ってやったとします。

  • SharePointやOneDriveのデータを共有し社外へ持ち出す
  • 私的に使っているデータを会社のOutlookメールへ送り社内に持ち込む

Microsoft 365全体管理者が本気出して監査ログ調べれば、すべてバレます。

またデータの私的な出し入れだけではなく、内部不正対策とした「電子情報開示」という超強力な監査機能が存在します。

「電子情報開示」どう強力なのか?というと、

メール文章やTeamsのチャットまで、

すべて丸裸にされてしまいます。

Teams自分のみ、マイチャットも例外ではありません

関連記事
Teamsメモ代わり自分だけのチャットルーム「秒」で実現する方法

続きを見る

非常に強力な監査機能通常の企業であれば「インシデント発生時、承認制で使う」など、普段は使わないようにしている(はず)です。

ですが中小企業、非上場の企業であれば、電子情報開示を使うための統制管理までは手が回らない事実もあります。

そのためシステム管理者は「システムを私物化しない、責任感ある、全幅の信頼を寄せられる」このような方を人選しなければなりませ。

電子情報開示について詳しく知りたい方は、公式サイト以下記事をお読みください。

Microsoft Teams のコンテンツに対して電子情報開示の調査を行う

まとめ

システム管理者のぶっちゃけ話でした。

システム管理者であれば、

PC使っている実態、

ほぼすべてバレている。

このように認識しておいた方がよいでしょう。

特に会社PCを業務目的以外で使用するのは、やめておきましょうね。

監視されている範囲を理解し、業務用PCを私用で使わないことをおすすめします。

-Microsoft, セキュリティ
-,