前回は、サイバー攻撃に気付き、対応する方法について説明いたしました。今回は情報セキュリティ対策を効果的にするルールのつくり方について解説いたします。

従業員が情報セキュリティ対策を実施するためには、まず情報セキュリティポリシーや情報セキュリティ手順書（マニュアル）などと呼ばれるルールが必要になります。このルールが従業員に十分に伝わらなかったり、守ってくれなかったりということが多いようです。

情報セキュリティに限らず、ルールはその人の業務の役割と責任に応じて、企業が意図したとおりの内容で、実際の業務の中で実施されるようにできなければなりません。そのためには、まず業務の中でどのような重要情報を扱っているか、理解しなければなりません。その上で、業務のプロセス（取得、利用、保管、廃棄など）の中で実施すべきことを洗い出し、具体的な方法や手順で示すことが必要です。そうしなければ、従業員が実際に判断や行動することが難しいからです。たとえば、「重要情報は、慎重に廃棄する」は「重要な情報を含んだ書類や媒体（CD－RやDVD－R）は、シュレッダーで裁断し、再読不可能になったことを確認する」というように、具体的な方法や手順を示すことが求められます。

そして、これをさらに確実にするために、教育や内部監査を実施しましょう。ルールを読み上げて「これを守れ」というだけでは効果がありません。ルールで示した方法や手順が文書だけで十分に伝わらないことがあります。それを補うためにも、従業員への教育が必要になります。

内部監査は、ルールで示した方法や手順が適切に実施されているかを確認するために行います。実施状況を口頭での質問や自己点検票で確認するだけではいけません。それだけでは、「やっているつもり」「できているつもり」で実施していることになってしまうからです。できる限り実施の記録を取り、それを客観的に第三者的立場の者が確認するようにしましょう。

今までこのコーナーでは、企業における情報セキュリティの重要性について説明してきました。次号からは、具体的な情報セキュリティの脅威と対策のポイントについて解説していきます。