新入社員が入社する4月、情報セキュリティ研修やコンプライアンス研修を行う企業は多いのではないでしょうか。社会経験がまだ浅い新入社員には、コンプライアンスについて正しく伝える必要があります。そこで本記事では、人事や総務担当者の方向けに、コンプライアンスの中でも今取り組むべき情報セキュリティ教育についてご紹介します。

※コンプライアンス研修全般についてはこちらの記事で詳しく解説しています。

コンプライアンスとは？

コンプライアンスとは「法令遵守」という意味で、商法や独占禁止法、景品表示法などの法令や一般的な社会規範に従って、企業が公平公正に運営されることを指します。また、そうした法律に加えパワハラ・セクハラを代表とするハラスメントや環境破壊など、コンプライアンスの範囲は多岐に渡ります。企業としてはもちろん、社員が一人でもコンプライアンスを違反してしまうと、信用の失墜、風評被害、さらには損害賠償にまで発展することもあり、企業の損失は非常に大きなものとなるでしょう。そのためコンプライアンス対策は、今企業にとって最も重要な課題となっています。

今なぜ情報セキュリティ教育が必要か

コンプライアンスの中でも特に重要だといわれているのは、情報セキュリティ対策です。インターネットは今や企業活動に欠かせないものとなりましたが、その反面、インターネット・情報にまつわる被害が後を絶ちません。特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）の調査によると、情報セキュリティの大きなインシデントである情報漏えいの要因は、ほとんどが人的要因となっています。（※下記資料参考）

＜参考＞2018年度情報漏えいの原因　※特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）による情報セキュリティインシデントに関する調査報告書より

• 1位　     紛失・置忘れ　26.2％
• 2位        誤操作　24.6％
• 3位        不正アクセス　20.3％
• 4位        管理ミス　12.2％
• 5位        盗難　3.8％
• 6位        設定ミス　3.6％
• 7位        内部犯罪・内部不正行為　2.9％
• 8位        不正な情報持ち出し　2.3％
• 9位        バグ・セキュリティホール　1.8％
• 10位      その他　1.4％

このように、ウイルス対策ソフトの導入だけでは防ぐことができない人的要因を防止するためには、社員への情報セキュリティ教育は避けて通れません。しかし、教育と一口に言っても、資料を渡して読んでもらうといった形だけの内容では効果は半減します。社員一人ひとりの「意識を高める」研修を行う必要があるでしょう。

研修に含めるべき内容の例

ここでは研修を行うにあたり、盛り込むべきポイントの例をいくつかご紹介します。

情報資産について

情報資産とは「データ」のことです。パソコンやUSBメモリ、SDカードに保存されているもの、顧客とのメールのやり取りなど情報の全てが資産となります。一見意味のないように見えるものも、いつどこで価値が高まるか分かりません。社内で扱う情報は資産であるとの認識を持つことで、情報の重要性が見えてきます。

メールに伴うセキュリティリスク

普段から使う頻度の高いメールについて、リスクを知っておく必要があります。例えばメールの誤送信。一度送信してしまうと取り消すことができないので、情報漏えいのリスクが非常に高いといえます。設定による再確認を実施する、BCCやCCの使い方を理解する、パスワード付きのメール送信設定をするなどの対策を行います。

また、不正メールへの対処法も周知しておくべき内容です。メールにあるURLからフィッシングサイトへ誘導したり、添付データから不正プログラムをダウンロードさせたり、さらには取引先や役職者を名乗ったビジネスメールを装い金銭を要求するなどの被害が発生しています。昔からある手法ですが、時代に合わせてメール内容が巧妙に作り込まれているので、特徴を知り不正を見抜く力と不確実なメールは開かないなどの対応が求められます。

SNSでの情報の取り扱いに注意

スマートフォンの普及と比例するように、生活に定着したSNS。FacebookやTwitterがその代表例ですが、そこでうっかり社内の機密情報を発信してしまったという事例は後を絶えません。SNSは一度アップすると、急速に不特定多数の人の目についてしまい、気づいて削除をしても既に拡散されてしまった情報は止める術がありません。たとえプライベートのアカウントであったとしても、発信内容が会社の内情に繋がらないようSNSの利用には注意が必要です。特に新入社員には、プライベートと社会人の二面性について理解を促す必要があります。

改正個人情報保護法のポイント

2020年6月、改正個人情報保護法が成立・公布されました。今回のポイントは、「個人関連情報の第三者提供での本人同意等確認義務」、個人情報の利活用促進を目的とする「仮名加工情報の創設」の2点です。

「個人関連情報の第三者提供での本人同意等確認義務」とは、個人関連情報（それ単体では個人情報ではない情報）を扱う事業者は、個人関連情報を第三者に提供するにあたって、その第三者が個人データとして取得することが考えられる場合は、提供する事業者はその個人関連情報に対して予め本人同意が得られているかどうかを確認し、その記録を作成・保存する義務のことを指します。そのため、全ユーザーがいつ・どのような利用規約に同意したのかについて把握しておかなければならないという内容で、企業は同意管理の徹底が求められます。

「仮名加工情報の創設」とは、個人情報から氏名や個別識別符号などを削除し、データを他の情報と照合しない限りにおいて特定個人と結び付けられないよう加工した情報のことです。開示・利用停止要求に対する義務の緩和につながります。ただ、基本的には仮名加工情報は第三者に提供することはできません。

このように個人情報については、時代に合わせて法改正があること、企業側も消費者側も慎重に扱うべきデータだということを周知しておきましょう。

以上のように、情報セキュリティ教育には専門的な知識が必要です。また、動向も刻々と変化します。効果的な研修を行うためには、外部のプロへ委託することも検討してみてはいかがでしょうか。

外部の研修サービスを利用するメリット

研修を外部のプロへ委託すると、下記のようなメリットがあります。

最新の専門知識を得られる

情報セキュリティに関する事件や事例は日々進化しており、知識・経験がないと教育が一般的で無難な内容になりがちです。そうならないために専門の外部講師をつけることで最新の対策が可能になります。

第三者の知見を共有することで説得力が増す

人間は知人の話には自然と偏見を持って聞いてしまう傾向がありますが、第三者の話にはそれがなく信頼しやすいという心理現象が存在します。「第三者がこう言っています」と伝えることで説得力が増し、社員が教育内容を理解・納得しやすい環境ができあがります。

おすすめの外部サービス

日本パープルの情報セキュリティ教育サービスは、企業の要望や課題に応じて研修内容をカスタマイズすることができます。また300社以上の教育コンサルティングに携わった経験豊富な講師が、参加者が主体的に学べるプログラムを用意。ケーススタディやロールプレイ、ディスカッションなども交えた実践的内容を含めることも可能だとされています。情報セキュリティは初心者だという企業も分かりやすく学べるようです。長きにわたり情報セキュリティ分野で最先端を走る、日本パープルならではのノウハウが詰まったサービスです。

◾️日本パープルの情報セキュリティ教育サービスはこちら

コンプライアンス違反を防止するには、適切な教育と意識向上が大切

今回は、コンプライアンスの中でも特に気をつけておきたい情報セキュリティについて解説しました。不正メールや情報漏えいなど身近に存在するリスクを回避するには、セキュリティソフトの導入だけではなく社員一人ひとりの意識が向上するような取り組みが必要不可欠です。本記事を参考に研修を行っていただければ幸いです。