ソーシャルメディアとメッセージングアプリの禁止は大きな(そしてコストのかかる)問題点
組織とそのコンプライアンスリーダーは、数例を挙げると、従業員による WeChat、Whatsapp、TikTok などのアプリの使用を禁止するなど、オフチャネルでのコミュニケーションの禁止を把握するのに苦労しています。
ある調査によると、調査対象となったコンプライアンスリーダーの61.5%が「従業員に電子コミュニケーションのルールを遵守させることが最大の関心事だ」と回答した。 また、この調査では、組織内でのコンプライアンスに準拠したコミュニケーションを確保するためにチャネルの禁止が効果的であると「強く信じている」と回答したコンプライアンス担当役員はわずか 3% であることも明らかになりました。
規制上の監視の強化により、大多数(59%)がソーシャルメディアやメッセージングアプリの使用を禁止しているにもかかわらず、この無益感は続いている。
グローバル・リレー社の規制インテリジェンス担当ディレクター、ロブ・メイソン氏は、チャンネル禁止はほとんどの場合迂回されるため効果がないと説明し、そのため過去数年間に多数の罰金が科せられていると説明する。
FTC の罰金に加えて、シャドー IT やオフチャネル通信を許可する企業は、従業員がこれらのツールをどのように使用しているか、どのようなデータが送信されているかについて IT チームとセキュリティ チームが監視または制御できないため、データ漏洩やセキュリティ侵害のリスクが高くなります。共有されました。
また、組織はシャドー IT に関連して長期的にはより大きなコストを負担する可能性があります。
「チャネル禁止措置が実施されている間、ビジネスのためのオフチャネルコミュニケーションが底流で常に行われていることがわかります」と彼は言います。 「チャンネルの禁止は現在、リスクをより効果的に管理するための戦略が展開されている間の一時的な戦術的措置だと思います。」
同氏は、承認されていない通信チャネルの禁止は常に行われてきたと付け加えた。
「同僚は、ビジネス関連の通信を記録媒体で行う必要があることを認識しており、記録媒体は規制に従って監視と記録保持の対象となる」と彼は指摘する。 「これは、関連規制を反映した内部ポリシーへの準拠を満たしています。」
新型コロナウイルス感染症が発生したとき、ロックダウンにより人々は在宅勤務が義務付けられたが、個人的なコミュニケーションとビジネス上のコミュニケーションの間の境界線がますます曖昧になったにもかかわらず、モバイル禁止ポリシーの「取り締まり」は行われなかった。
それにもかかわらず、WhatsApp やその他の未承認の通信チャネルがビジネス目的で広く使用されていたことは明らかであり、これは SEC の捜査によって初めて明らかになりました。
この結果、ほぼすべての大手銀行が制裁と罰金を科せられ、最初の通知から18か月が経過した現在も罰金が続いている。
「これらの禁止政策の違反に対する罰則は強化されましたが、これは抑制ではなく抑止です」とメイソン氏は言う。
オービック社のシニアプロダクトマネージャー、ジョン・ハーデン氏は、有効性は基本的に禁止措置の内容に左右されると語る。
「たとえば、組織の従業員に宛てたメモは、施行、監視、二次的な IT 対策がなければ、失敗する運命にあります」と彼は言います。 「水が最も抵抗の少ない道を進むように、ここ Auvik でも見てきましたが、従業員は自分の役割を容易にするためにシャドー IT を使用する傾向があります。」
「私たちが何かをした」というボックスにチェックを入れることが目的なのか、それともそのボックスを強制し、保護措置によって確実に阻止することが目的なのかを知ることが重要です。
「従業員がオフチャネルコミュニケーションを利用しているのは、ITポリシーを破りたいからではない」と彼は付け加えた。 「彼らは、そのほうが彼らや彼らの顧客にとって楽だからそうするのです。」
ハーデン氏は、この場合、企業はシャドー IT を日和見的に検討する必要がある、つまり WhatsApp や WeChat などのツールが使用されている理由を理解し、自社の技術スタックを活用して社内の革新を図る必要があると述べています。
「従業員に、自分が好むツールではなく、認可されたツールを使用するように指示するだけでは、大きな成果は得られません」と彼は言います。 「従業員には好みがあるため、IT リーダーは従業員が非承認ツールの使用を好む理由に耳を傾け、コンプライアンスを維持しながら従業員のニーズを満たすためのイノベーションの機会として捉える必要があります。」
Gartner 副社長アナリストの Chris Audet 氏は、多くの場合、コンプライアンス担当者はリスクを遡及的に監視し、発生する可能性が高いリスク イベントを評価する規範的なアプローチではなく、発生したリスク イベントに注目する傾向があると説明しています。