情報セキュリティ教育は、あらゆる企業において不可欠かつ重要です。ただその一方で、未だに情報セキュリティ教育の必要性が十分に認識されていないケースや、情報セキュリティ教育の具体的なコンテンツ(中身)が分からないといったケースも少なくありません。
そこで本記事では情報セキュリティ教育について、基本情報から怠った際のリスク、特に重要となるコンテンツまでを解説します。
“効果的な情報セキュリティ研修”にeラーニングを活用してみませんか?
役職やスキルにあわせて階層ごとに必要な知識を身に着けてもらう情報セキュリティ研修では、一人ひとりにあった最適な研修プログラムの提供が大切です。企業を取り巻く流動的な環境にあわせた適切なプログラムの配信など、効果的な情報セキュリティ研修の実施には、eラーニングの活用がおすすめです。
eラーニングシステムを活用すれば、時間や場所に縛られることなく学習でき、常に最新の情報にアップデートした学習コンテンツを提供できるため、情報セキュリティ研修だけでなく従業員のリスキリングなど幅広く導入されています。
『eラーニング導入・活用 完全ガイド』では、効果的な社員研修や人材育成にご検討中の人事・教育担当者に向けて、eラーニングの基本から運用のコツなど、導入事例を交えて詳しく解説しています。
どなたでも無料でダウンロードいただけますので、ぜひ参考にしてみてください。
目次
情報セキュリティ教育とは
情報セキュリティ教育とは、経営資源であるヒト(人材)・モノ(設備や資材)・カネ(資金)・情報(顧客情報や営業秘密)のうち、情報を守るために社員を対象として行う教育のことです。
守るべき情報
情報セキュリティによって守るべき「情報」とは何を示すのでしょうか。ここでは以下の3つに分けて紹介します。
顧客情報
顧客情報とは、顧客である個人や企業の「住所・氏名・所属・メールアドレス・電話番号・購買履歴・仕切価格」などです。住所から電話番号までは名刺一枚ですべて得られる情報です。また、購買履歴や仕切価格も重要な顧客情報にあたるため、情報セキュリティの対象として欠かせません。
営業機密情報
営業機密情報は、技術情報と営業情報の大きく2つに分かれます。技術情報は「設計図・製法・製造ノウハウ」などが該当します。一方で営業情報は「リリース前の新商品情報・顧客名簿・仕入先リスト・販売マニュアル」などです。
とりわけ営業や販売をどのように行うのかといった細かな手順や手法自体も、機密情報にあたるため注意が必要です。
業務上で知り得た情報
企業に属して業務にあたれば、社内外問わず様々な情報を得ることとなります。例えば、社内手続きで知った同僚の個人情報、顧客企業における取引情報、顧客から預かった情報など、毎日のように多くの情報に触れているのです。これらは全て守るべき情報にあたります。
情報セキュリティ教育を怠った際のリスク
情報セキュリティ教育を怠った場合に生じるリスクについて、会社と個人の両観点から解説します。
会社が失うもの
情報セキュリティに関する事故を起こしてしまうと、会社には以下のような損失が発生します。
金銭的損失:近年被害法人数が大幅に増加しており、とくに情報セキュリティ対策が行きわたっていない中小企業が狙われるケースが増加傾向にある
顧客の喪失:一度でも被害が出ると、被害会社の信用は失われる
業務の停止:業務改善命令や原因追及の為に業務を止めざるを得なくなる
人材の損失:従業員が会社に対して不安や不信感を抱き、やる気を失ったり離職したりする
会社が負う責任
会社は損失に加えて、以下のような責任を問われることとなります。
法的責任:懲役、罰金、課徴金、業務停止命令、損害賠償など
社会的責任:顧客、取引先、従業員への説明責任
本人が負うもの
会社だけでなく、事故を起こした本人も「懲戒解雇・諭旨解雇・出勤停止・減給・けん責」など就業規則に応じた罰を受けることになります。
さらには社内での信用を失い、社内や部内の居場所がなくなったり、責任ある仕事を任されなくなったりといったことにもつながりかねません。
情報セキュリティ教育の重要コンテンツ
情報セキュリティ教育を行う上で、とくに重要となるコンテンツを6点にまとめて紹介します。社内で情報セキュリティ研修等を開催する際の参考としてください。
1.スマートフォン
業務においても欠かせないスマートフォンには、守るべき情報が満載です。スマートフォンを業務で取り扱う上では以下の点に注意しましょう。
- 常に手元から離さないようにする
- OSやアプリを最新に保つようにする(最新状態か分からなければ管理者へ確認)
- 業務に関係ないアプリは入れない
- アプリの権限を厳しく設定しておく(SNSアプリと連動し自動で投稿されてしまうリスクがある)
- SNSの利用は制限しておく(社内ルールを定めて徹底する)
- 不明なWi-Fiに接続しない
2.パソコン
パソコンもスマートフォン以上に重要な情報がつまっているため、以下の点に注意しましょう。
- 手元から離さないようにする(鞄に入れたまま電車の網棚、カフェなどに忘れるケースが多い)
- OSやアプリを最新に保つようにする(最新状態か分からなければ管理者へ確認)
- ウイルス対策ソフトを最新にしておく
- 離席時には画面をロックする
- 不明なWi-Fiに接続しない
また、万一の盗難や紛失に備えてパソコン起動時のパスワードの二重ロック化や、暗号化ソフトの採用もオススメです。
3.ID・パスワード
様々なシステムやツールを用いる現代において、IDとパスワードの管理も重要な情報セキュリティです。以下の点に注意しましょう。
- 初期パスワードは変更しておく
- IDとパスワードをそのままメモしない
- 同じパスワードを使いまわさない
- IDとパスワードを他人に教えない(上司や同僚を装って電話で聞いてくるケースがある)
- 再発行依頼があった際は必ず本人確認を行う
4.メール
メールでのやり取りを中心としている企業も多いのではないでしょうか。メールを行う際も以下のような点を注意することでリスクを下げることが可能です。
- 宛先は最後に入力するようにする(誤送信のリスクを減らせる)
- 不審な添付ファイルは開かない
- そもそも添付ファイルを使わない(少なくともパスワードをかける)
- 不審なリンク先はクリックしない
昨今増加しているのが、自社や関係企業を実名で装った迷惑メールです。送信元の名前だけで安全と決めつけてはいけません。判断が難しい場合は電話などその他の連絡手段を用いて先方に確認すると良いでしょう。
5.印刷物
ペーパーレスを進める企業が多い中ではありますが、情報漏洩の原因が紙媒体であるケースが後を絶ちません。
- 印刷物を放置しない
- 機密文書を持ち出さない
- シュレッダーや溶解箱で処分する
- 保管ルールを遵守する(定位置管理の徹底など)
6.連絡・相談
情報の取り扱いに迷ったり、情報セキュリティに関するトラブルが発生したりした場合は、即時に社内の担当窓口に連絡しましょう。
大切なのは「自分で勝手な判断をしないこと」です。とくに顧客情報が入ったスマホやパソコンなどを電車に忘れてきたなど、情報漏洩につながる場合は即座に報告し、個人ではなく会社としての対応に切り替えましょう。
情報セキュリティ教育の最重要コンテンツは「人為ミス防止」
情報セキュリティ教育で最も重要なコンテンツは「人為ミス防止」です。ここまでの内容からも推測できるように、情報セキュリティにおける問題は人為的なミスで生じる場合がほとんどです。
以下に起きがちな事例を紹介しますので、自社の情報セキュリティ教育において特に強調すべきポイントとしておさえておきましょう。
紛失・置き忘れ:パソコン・USBメモリ等の紛失または置き忘れ
誤操作:メールの宛先を間違えるなどことによって意図せぬ相手へ情報が伝わってしまう
管理ミス:受け渡し確認が不十分で情報が行方不明、管理ルールを誤って公開してしまう
以下2つは悪意ある他者が関わるケースですが、人為的に予防することも可能です。
不正アクセス:アクセス制御を破って侵入され機密情報が漏洩してしまう
盗難:車上荒らし・事務所荒らしなど
情報セキュリティ教育のコンテンツを効率良く学ぶには?
情報セキュリティ教育において学ぶべきコンテンツは多岐にわたるため、全てを集合研修で補おうとすると開催側・受講側の両者にとって負担になりかねません。
そこで有効なのが、eラーニングです。eラーニングとは、パソコンやスマートフォンなどのデジタル機器とインターネットを利用して教育や学習、研修を行うことです。
ネット環境さえあればいつでもどこでも受講可能なため、受講者側は空き時間などを活用できます。開催側も受講案内のみで、研修のために参加者全員のスケジュール調整を行う必要もありません。「情報セキュリティ教育は大切だけど、社員の時間を確保できない」といった問題の解決策となります。
eラーニングシステムによっては、既存のコンテンツに加えて自社オリジナルコンテンツを作成・配信可能なものもあります。自社における情報セキュリティのルールを周知徹底するための手段としても活用可能です。
eラーニング活用について詳細を知りたい方は以下の資料をご確認ください。
失敗しない『企業向けeラーニング』の始め方|無料でダウンロードする
まとめ
情報セキュリティ教育について、基本情報から怠った際のリスク、特に重要となるコンテンツまでを解説しました。
情報セキュリティ教育とは、ヒト・モノ・カネ・情報の4大経営資源のうち、情報を守るために社員を対象として行う教育のことです。守るべき情報は「顧客情報」「営業機密情報」「業務上で知り得た情報」の3種類です。
情報セキュリティ教育を怠り情報漏洩などの事故に至ってしまった場合、会社は金銭的損失・顧客の喪失・業務の停止・人材の損失だけでなく、社会的責任や法的責任までも負うことになります。事故を起こした本人も例外でなく、規則に基づく罰則や信頼の喪失などを負わなければなりません。
こうした損失を避けるためにも情報セキュリティ教育は非常に大切です。記事内では情報セキュリティ研修などで取り上げるべき重要コンテンツを6つ紹介しましたので、ぜひ参考にしてください。
なかでも最も重要なのが、紛失・置き忘れ・誤操作・管理ミスなどの「人為ミスを防止すること」です。不正アクセスや盗難などのリスク低減も含めてしっかりと教育しましょう。
ただ重要であるものの、情報セキュリティ教育の時間を業務が忙しいなかで確保するのは困難という企業も少なくありません。そこで有効なのがeラーニングです。ネット環境さえあればいつでもどこでも受講可能なため、負担なく情報セキュリティ教育を実施できます。
企業が信頼を保ちつつ活動を続けていくためには、情報セキュリティ教育は欠かせません。この機会に一度自社における情報セキュリティを見直してみてはいかがでしょうか。
“効果的な情報セキュリティ研修”にeラーニングを活用してみませんか?
役職やスキルにあわせて階層ごとに必要な知識を身に着けてもらう情報セキュリティ研修では、一人ひとりにあった最適な研修プログラムの提供が大切です。
また、企業を取り巻く流動的な環境にあわせた適切なプログラムや、定期的なコンテンツのアップデートが欠かせません。
そのため、効果的な情報セキュリティ研修を実施するためには、eラーニングの活用がおすすめです。
オンラインで学習できるeラーニングシステムを活用すれば、より広範囲な人材のスキルアップや教育の均質化を実現できます。
時間や場所に縛られることなく、また、最新の情報に常にアップデートして学習コンテンツを提供できるため、情報セキュリティ研修だけでなく従業員のリスキリングなど幅広く導入されています。
『eラーニング導入・活用 完全ガイド』では、効果的な社員研修や人材育成にご検討中の人事・教育担当者に向けて、eラーニングの基本から運用のコツなど、導入事例を交えて詳しく解説しています。
どなたでも無料でダウンロードいただけますので、ぜひ参考にしてみてください。
