2013年7月に官公庁の職員らがコンシューマー向けのクラウドサービス上で共有していた情報が、外部から閲覧可能となっていたことが問題となったが、これは、従業員がIT部門の知らないところで情報機器やサービスを業務に利用する「シャドーIT」の危険性を端的に示す出来事である。IT部門は、こうした動きを単に禁止するのではなく、より安全な代替案を示すことが求められる。
2013年7月、情報共有サービスの「Googleグループ」で、環境省など複数の省庁職員が個人アカウントを利用して共有していた情報が、一般ユーザーから閲覧可能な状態で公開されているという問題が発覚した。この問題は同月開催された省庁間会合でも議題として取り上げられ、各省庁の情報セキュリティ担当者は、「職員への教育・指導の徹底」「外部サービスの利用禁止」などの対策を講ずると表明した。
上述のケースは、初歩的な設定項目である公開範囲が誤って設定されていたことによって生じたものであり、重要な情報を取り扱う公務員として軽率であったとの批判は免れない。しかしその一方で、この問題を「特定組織における個人的なミス」と片づけることにもいささか違和感を覚える。というのも、これは、IT部門の管理が及ばないところでエンドユーザーが情報機器やサービスを業務に利用する、いわゆる「シャドーIT」の問題点を端的に示す出来事であり、民間企業のCIOやIT部門責任者にとっても、決して他人事とは言えない問題だと考えるからである。
シャドーITのリスクは、これまでも述べてきたが(ITR Whitepaper 「再考:モバイル・セキュリティ~隠れた端末利用『シャドーIT』に立ち向かえ~」C12090043、ITR Insight 2013年冬号「コンシューマーIT時代のモバイルデバイス配備指針」#I-313011)、問題の本質は、エンドユーザーが使いたいと考えるIT環境と、実際に企業側が用意しているIT環境との間にギャップが生じ始めていることにある。とりわけここ数年間、スマートデバイスやクラウドサービス、ソーシャルメディアなど一般の消費者にとって便利かつ安価なコンシューマーITが一気に台頭し、日常生活において他者との情報交換手段は大きく変化した。こうした急激な環境変化が進むなかで、企業がその影響から完全に逃れるのは困難である。IT部門は、こうしたコンシューマーITの利用を一方的に禁止するだけでなく、従業員が利用せざるを得ない理由は何か、自らが提供しているITサービスに問題はないか、といったことを顧みる機会と認識すべきである。