ルール守る風土社内に醸成

情報セキュリティー対策を社内に浸透させるためには、従業員一人一人の情報セキュリティー意識の向上が必要であるが、それに有効なのが「教育」だ。教育を繰り返し行うことで情報セキュリティポリシー(社内の情報セキュリティー上のルール)を守る風土を社内に醸成することができる。

そして、企業における情報セキュリティー教育では、「情報セキュリティポリシーを周知徹底する」「情報セキュリティーの脅威と対策を知る」という2点に取り組むことが有効である。

企業における情報セキュリティー対策の第一歩は情報セキュリティポリシーを作成することである。しかし、情報セキュリティポリシーを策定しただけでは情報セキュリティー対策ができたとはいえない。社内で働く従業員全員に、自分の役割は何か、具体的にどのようにして情報セキュリティポリシーを守るのかなどを周知徹底することこそが大事である。

また、なぜ情報セキュリティポリシーを守る必要があるのかが分からないとポリシーを守り続けることは困難である。そのために、実際の事件や事故の事例を伝えることも大切となる。

中小企業は情報セキュリティーの確保のため、教育にも積極的に取り組んでほしい。

定期的なフォローアップを

情報セキュリティー教育を計画・実施する際は、次に挙げるポイントを考慮する。

①教育の対象

情報セキュリティポリシーは、業務に携わる全ての従業員に周知徹底する必要がある。正社員だけでなく派遣社員やアルバイト、もちろん社長も対象である。また、自社だけでなく業務委託先の教育にも留意する必要がある。

②教育のタイミング

教育のタイミングとしては次に挙げるタイミングが考えられる。上手く組み合わせて教育を実施する。 ・ポリシー運用開始時 ・ポリシー変更時 ・事件や事故発生後 ・新入社や中途採用時 ・人事異動時(業務が変わったタイミング) ・ポリシーを守っていないことが発覚した時 ・定期的に実施

③教育の方法

教育の方法としては次に挙げる方法がある。企業の状況に応じて適切な方法を採用する。 ・集合講習 ・eラーニング ・課題図書を読ませ、テストにより理解度を確認する ・自己点検チェックシートなどを配布して記入させ、ポリシーの順守状況を確認する

④教育の記録とフォローアップ

情報セキュリティポリシーを守るには、継続した取り組みが重要である。そのためには、「誰に」「いつ」「どのような」教育をしたかを記録に残し、全従業員漏れなく教育を行うようにする。また、セキュリティー環境の変化に伴い、教育した内容が陳腐化してしまう可能性があるため、定期的なフォローアップ教育が必要である。加えて、理解度や順守状況が悪い場合は、フォローアップ教育を行ってほしい。

なお、情報セキュリティー教育を行う際のコンテンツの入手方法や具体的な進め方については、IPAが主催する「講習能力養成セミナー」にて学ぶことができる。今年度も8月から全国各地で開催されるため、

詳しくはIPAのウェブサイト (https://www.ipa.go.jp/security/keihatsu/sme/seminar.html)を確認してほしい。 (独立行政法人情報処理推進機構・江島将和)