インターネットが普及してはや20年以上が経過しました。もはや我々の生活になくてはならないものとなっています。それだけにちょっとした気のゆるみや怠慢などから、従業員による情報漏洩なども簡単にあり得てしまうのです。今回は、そんな情報セキュリティを社員に教育しておくことの重要性、そしてどのようなことを実践すればよいのか解説していきます。
- 1.なぜ情報セキュリティの教育をする必要があるのか
- ①社員にセキュリティポリシーを周知させる
- ②情報セキュリティの脅威と実際の対策を知ってもらう
- 2.実際にどのような教育を施すべきか
- ①教育をする対象者
- ②教育を行う時期
- ③実際に教育をする際の方法
- まとめ
1.なぜ情報セキュリティの教育をする必要があるのか
そもそも、なぜ私たちは情報セキュリティの教育をする必要があるのでしょうか?
それは現代経済のグローバル化が進み、情報の重要性が増しているからなのです。一瞬で社内の情報が全世界に公開される可能性もあり、外部へ情報が漏れるのは恐ろしいことです。その一方で、現在の情報漏洩のほとんどは内部流出と言われています。このため、会社などの組織を構成する関係者には情報セキュリティの教育は不可欠なのです。では、実際にどのような教育をするのが望ましいのでしょうか?
① 社員にセキュリティポリシーを周知させる
1つ目は「社員にセキュリティポリシーを周知させる」ことです。組織内の情報セキュリティ対策でまず初めにしなければならないことは、組織内での情報セキュリティポリシーを作成することなのです。しかし、作成しただけでは到底セキュリティが出来上がったとは言えません。これを組織内で働くスタッフ全員に、自分がどの情報セキュリティポリシーを守らなければならないのか理解してもらう必要があります。特に個人情報や機密性の高い情報などは取り扱いが難しいため、注意事項を徹底したりセキュリティポリシーをいつでも見れるような環境作りが大切です。
② 情報セキュリティの脅威と対策を知ってもらう
どんなに情報セキュリティの重要性を説いても、実際になにが恐ろしいのかわかっていないと対処するのは難しいですよね。そのために、実際に今までにあった事例やその際の対処法なども合わせて伝えておくのがいいでしょう。
コンピューターウイルスに感染した場合はどのような被害が想定され、その際にどんな対処をすればいいかなどの現場での対処や、事前のウイルス対策からメール、ウェブの閲覧の際に気を付けることなどを周知しておきましょう。
2.実際にどのような教育を施すべきか
ここまで、情報セキュリティの周知が大事だという話をしてきました。では実際にいつ教えたらいいのか、また、どこまでの人に教えるべきなのかと思った人もいるのではないでしょうか?ここからは、教育をする際の具体的な方法を解説していきます。
①教育をする対象者
情報セキュリティポリシーは、個人情報をあつかう部門の社員だけ理解しておけばいいと考えてはいませんか?先程述べたように、情報セキュリティポリシーは業務に携わるすべての人に周知徹底する必要があるのです。それはもちろん、派遣社員やアルバイトなどの非正規社員はもちろん、管理職や役員なども情報セキュリティポリシーは理解しておかなければならないのです。しかし、当然関わる情報のレベルに準じた教育を行わなければいけません。具体的には、指導・管理する立場の役職者にはセキュリティ意識を啓蒙する内容を、一般社員には「具体的なポリシーを理解する内容」などを行うのがよいでしょう。
②教育を行う時期
情報セキュリティポリシーの運用開始時をはじめ、様々なタイミングで教育を行うことで、より情報セキュリティポリシーの浸透を図ることができます。一年ごとに定期的に勉強会を行ったり、新人研修や異動研修のプログラムに組み込むなどはもちろん、ポリシーの変更や情報漏洩があった際に周知の徹底のために行うことなどがあります。
③実際に教育する際の方法
では、実際に教育を実施するにあたり、効果的なものはどのようなものがあるのでしょうか。外部から講師を呼んで研修会や勉強会を行う、e-learningを利用して行うもの、テストをして現状のポリシー理解度を測るなど様々な形式があります。コストの面やスケジュール管理などで違いが出てくるので、ご自分にあった教育方法を選択しましょう。
3.まとめ
いかがでしたでしょうか?
現代のセキュリティ対策はどこの企業でもとても重視されている項目で、セキュリティトラブル起こった際は、たった一人の誤った行動が企業の信用の失墜や莫大な損失、被害につながる可能性もある非常にリスクの大きなものです。だからこそ、社員全体への情報セキュリティポリシーの周知徹底が必要不可欠なのです。今一度、社員へのセキュリティ教育の方針を見直してみてはいかがでしょうか?