個人の行動が組織に影響
意図せず情報モラルに反することを行ったり、故意に不正を行ったりする人がいる。組織においては業務で急いでいたり、緊急対応をしていたりなど、精神的に追い込まれて、組織のためによかれと考えて規則に反してしまうこともあると考える。
いずれにしても、悪気があるかないかにかかわらず、自身の行為には責任が伴う。特に、組織においてはたとえ従業員の勝手な行動であったとしても組織への影響や責任が問われることが多くある。情報リテラシーの向上が必要な者は気を付けるべきことに自身で気付けないことが多い。そのため、組織は従業員に対して情報セキュリティに関する教育を行っていく必要がある。
教育内容は教育対象とするケースにより異なる。従業員教育のポイントの一例を以下に記載する。
従業員教育の五つのポイント
①組織の情報セキュリティ・コンプライアンスに関するケース
情報リテラシーや情報セキュリティの向上を図る際は、教育のコンテンツに何を取り入れるべきか業務により異なる。独立行政法人情報処理推進機構(IPA)など専門機関から発信しているコンテンツなどを参考にしていただきたい。
また、内部不正に対する懲戒処分やそれを規定した就業規則に関する周知も行う。
②インターネット利用に関するケース
本物に似せた偽のウェブサイトがある。特に個人情報や金銭に関する情報の入力を求められたときには注意が必要である。
③SNSの利用に関するケース
掲載されている情報が正しいとは限らない。悪意の有無にかかわらず、誤った情報が広まる恐れもあるため、情報をうのみにしない。
また、情報を安易に拡散してしまうと責任を問われることがある。特にSNSでは簡単に情報を見つけ、拡散できるが、意図せずデマの拡散や誹謗(ひぼう)・中傷に加担してしまう恐れがある。
そのため、情報発信は慎重に行う必要がある。真偽を判断できない情報や他人を攻撃するような発言は控える。一度インターネット上に発信した内容は完全に消去することは難しく、デジタルタトゥーと呼ばれる。そのため、感情のままに発信せず、いったん時間を置いて落ち着いて行う。
④教育受講時の心得
教育する際は受講者に以下のことを意識付けすることも必要である。
○他人事と考えずに受講すること
○就業規則、社内運用規則を理解すること
○事故を起こさないことは自分を守る意味もあること
○緊急時の報告先、報告方法を把握すること
⑤継続的に取り組む
定期的に、適切な時期に教育する組織における教育では、人の入れ替わり(新入社員、派遣、出向など)やイベント(長期休暇、社会情勢など)を考慮することも有効である。また、毎回同じ教育コンテンツではなく運用状況を確認し、コンテンツを見直すことも必要である。
効果的な講習会へIPAが解説動画
IPAは11月13日、「中小企業情報セキュリティ講習能力養成セミナー」の無料配信を開始した。本セミナーは、中小企業の教育担当者や情報セキュリティ担当者を対象に、効果的な講習会の組み立て方や、講習用コンテンツの入手方法と解説のポイントなどを説明する。今年度からYouTube「IPAチャンネル」にて一般公開となったため、気軽に受講することができる。従業員に対して情報セキュリティに関する教育を行っていく際の参考にしてほしい。
(独立行政法人情報処理推進機構・江島将和)
講習能力養成セミナーはこちらを参照
