Netpress 第2391号 内容から実施、見直しまで いま企業に求められる「情報セキュリティ研修」

1.マルウェアなどによる情報漏えいのリスクは高まる一方ですが、従業員に対して情報セキュリティ教育を行っている企業は少ないのが現状です。
2.情報セキュリティの教育内容と方法、評価とフィードバック、継続的な実施と見直しについて解説します。
牛島総合法律事務所
弁護士 影島 広泰
近年、情報セキュリティのリスクは高まる一方で、セキュリティ教育の重要性も高まっています。
企業としては、防御・検知などの技術的な対策を講じるとともに、日々進化する攻撃に対応するために従業員等への定期的な教育を行う必要があります。そもそも従業員等への教育は、法的な義務でもあります。
1.情報セキュリティの教育内容
(1)教育全体の構成
教育プログラムはさまざまな構成が考えられますが、次の構成がオーソドックスで効果的でしょう。
①近時の自社・他社の事故・被害等事例を紹介する
②法令などのルールを解説する
③社内ルールについて、①の事故事例をカバーする部分を中心に解説する
まずは、①事例を紹介し、身近な「自分ごと」としての関心を持ってもらうようにします。
そのためには、自社で発生した事故があればそれを紹介するのがよいでしょう。他社事例についても、可能であれば、同業他社の事例や自社の業務で発生しそうな事例を選びましょう。
次に、②法令やガイドラインが定める法的義務としてのルールを解説し、そのうえで③社内ルールを説明します。
従業員等のなかには、情報セキュリティに関する社内ルールが面倒で、業務の邪魔に感じているケースもあります。そのため、①の事例で身近に感じてもらったうえで、②法令などによる法的義務が厳しいことを伝え、それを踏まえて③社内ルールが存在しているのであって、決して「きれいごと」として定められているのではなく、必要最小限のルールであることを認識してもらいましょう。
(2)サイバー攻撃についての教育
サイバー攻撃については、攻撃の内容が日々変化していることから、最新の動向を解説することが重要です。
IPA(独立行政法人 情報処理推進機構)では、毎年「情報セキュリティ10大脅威」を公開しています。ここでは、いま企業が留意すべきサイバー攻撃が端的に示されています。
また、同じくIPAの「情報セキュリティ10大脅威 セキュリティ対策の基本と共通対策」では、ランキングされたそれぞれの脅威について、どのような対策が考えられるかが具体的に解説されています。社内教育の内容を検討するにあたり、大いに参考になりますので、ぜひ活用してください。
(3)「うっかりミス」に対する教育
情報漏えい等の原因をみると、誤交付、誤送付、誤廃棄、紛失といった「うっかりミス」が多くの割合を占めています。
個人情報保護法が安全管理措置の対象としている個人データの「漏えい等」とは、漏えい、滅失および毀損をいうとされています(23条)。「漏えい」だけではなく、「滅失」と「毀損」がないように教育する必要もあるので注意しましょう。
研修内容としては、自社における事故事例があればそれを紹介するとともに、他社において頻発している事故についても紹介し、防止策を教育することが重要です。
たとえば、自社の事故事例に加えて、誤交付、誤送付、誤廃棄、紛失の事例が多いことを伝え、それぞれについて、留意点や対応策を説明していきます。また、個人情報保護委員会が「個人情報の研修資料・ヒヤリハットコーナー」(https://www.ppc.go.jp/personalinfo/hiyarihatto/)を設けているので、研修資料の作成の参考にするとよいでしょう。
(4)インシデント発生時の対応についての教育
インシデント発生時の初動についての社内ルールも、教育の内容に含める必要性が高いものです。
インシデント発生時には、いち早く担当者・担当部署に報告してもらい、会社として素早く対応する必要があります。
2.情報セキュリティの教育方法
以前は、会議室に集まって研修を行うことが一般的でしたが、現在では動画配信を採り入れる企業も増えています。ただし、動画配信の場合は、効果が劣らないように、最後にテストを行うなどの工夫が必要です。
また、パート・アルバイトが多いなど、教育に必要な時間を確保することが難しいケースでは、eラーニングのシステムを利用してもよいでしょう。
3.評価とフィードバック
教育の後に、テストを行うと教育の効果が高まります。実は、教育の開始時に「終了後にテストがあります」と言うだけでも、教育を受ける者の真剣さが変わります。
逆に言えば、教育内容をしっかりと聞いてもらうことがテストをする目的なので、テストの内容そのものについては、簡単なものでかまわないでしょう。
たとえば、次のような簡単な問題を10問程度出題するイメージです。
Q | 「情報漏えいの可能性があると感じたら、上長と情報システム部に必ず文書で報告しなければならない。○か×か?」 |
A | 「正解×:報告は文書でなくてもかまいません。口頭でよいのでいち早く報告してください」 |
また、次年度以降の参考にするために、教育の方法や内容についてアンケートをしておくとよいでしょう。
4.継続的な実施と見直し
情報セキュリティ教育は、繰り返し行って知識を定着させることが重要です。この点については、個人情報保護委員会の『「個人情報の保護に関する法律についてのガイドライン」に関するQ&A』に、「研修の頻度は、(中略)、適切な内容の研修であれば、年1回程度でも少ないとはいえないと考えられます。」とあります。つまり、「年1回程度でも少ないとはいえない」というのですから、少なくとも毎年教育を行う必要があることになります。
しかし、年1回として、教育担当者からは、ことしの「ネタ」を考えることが大変であるといった話もよく聞きます。
近時の他社の事故事例については、前述のIPAの「情報セキュリティ10大脅威」のほか、個人情報保護委員会の年次報告にも最新事例が紹介されています。生成AIに研修テーマのアイデア出しをしてもらうのも一法でしょう。
他方、法令などのルールや社内ルールについては、同じネタの繰り返しになってしまっても問題ありません。教育は知識の定着を目的としている以上、どうしても覚えておいてほしいポイントは繰り返し説明して覚えてもらう必要があるからです。研修に出席した従業員等が、「これは去年も聞いたな」と思ったのであれば、むしろ教育としては成功と考えることができるでしょう。

「Netpress」はPDF形式でもダウンロードできます
SMBCコンサルティング経営相談グループでは、税金や法律など経営に関するタイムリーで身近なトピックスを「Netpress」として毎週発信しています。過去の記事も含めて、A4サイズ1枚から2枚程度にまとめたPDF形式でもダウンロード可能です。
プロフィール

SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ
SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。
法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。
https://infolounge.smbcc-businessclub.jp/soudan