情報セキュリティの要!「人的対策」を改善する教育法

IT・IT製品TOP > Key Conductors > 天野 哲也(パナソニック ソリューションテクノロジー株式会社) > 情報セキュリティの要!「人的対策」を改善する教育法
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

情報セキュリティの要!「人的対策」を改善する教育法

情報共有システム・コミュニケーションツール 2015/11/06

知識、意識、職場(風土)を改善する教育とは

 前回は、企業の情報セキュリティの要である「人的対策」を検討するにあたり、現状を把握するためのポイントとして「知識」「意識」「職場(風土)」の3つを挙げ、解説させていただきました。

 今回はそれら3つのポイントで現状把握をした後、どのように改善していくのか…それぞれの改善方法について、詳細を説明させていただきたいと思います。

「知識」が弱い場合の改善方法

 経営層を含めた全従業員へeラーニング学習やテスト形式のeラーニングを活用して教育を行い、基礎的な知識、規程、ルールなどの周知徹底を行いましょう。

 その際、教育を実施する期間を定め、その中でくり返し何度でも学習できるような環境を用意し、情報セキュリティ推進担当者などが教育の実施を従業員へ促すようにしましょう。

 右図をご覧下さい。これは「ブルームのタキソノミー分類」というものですが、知識、理解を深めるにはくり返し学習できるeラーニングなどの仕組みが最適です。ちなみに理解以上の領域は、集合研修とアクティブラーニングで教育を実施することが効果的です。

ブルームのタキソノミー

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

ブルームのタキソノミー

「意識」が弱い場合の改善方法

 経営層や管理者、情報セキュリティリーダー等、情報セキュリティ推進に責任を持つ方を中心に集合研修を行いましょう。意識が低いのは、情報セキュリティに対する危機感が薄いことが原因です。

 右図は、JNSAの個人情報漏洩による想定賠償増額を表したものです。個人情報漏洩だけを考えても、これだけの賠償が必要となるのです。更には社会的信頼の失墜にも繋がる恐れがあります。

 集合研修では、このようなことをさまざまな事例から学び、グループワークでディスカッションを行なうことで新たな「気づき」が生まれ、意識が変わり行動が変わってきます。また、意識を高めれば「気づき」が生まれ、その結果行動が変わってきます。責任を有する者の行動が変われば、従業員の意識改革に繋がっていくのです。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

引用 JNSA:2013年 情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編〜

「職場(風土)」が弱い場合の改善方法

 「職場(風土)」が良くない原因は2つです。1つは情報セキュリティ活動を推進する目的が理解されていない、もう1つは企業トップの意志が全社に反映されていないためです。

 この2つを全社へ浸透させるには、上記の「知識」が弱い場合、「意識」が弱い場合への対策を同時に行いましょう。これは“ブレンディング教育”といい、効果のある教育手法とされています。このブレンディング教育で知識、意識の改善を行いましょう。

 私の経験では、研修など教育を行う際、冒頭に企業トップなど経営層の方に「情報セキュリティを推進するための目的」について強いメッセージをお願いすることで参加者の意識が高まり、その結果、効果的な教育となって職場(風土)の醸成に繋がります。そしてこれらを継続して実施することで、職場(風土)が改善されていくのです。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

「継続的な教育」こそ「人的対策」への最大の要!

 今回は人的対策のポイントとして知識、意識、職場(風土)の3つの視点からの現状把握と、分析結果に合わせた具体的な教育手法を説明してきました。
 教育は人を育成するためには必須のものです。情報セキュリティの要が「人」である以上、情報セキュリティ対策における教育の重要性を理解していただけたかと思います。そしてこの教育は継続すればするほど効果的といえます。

 パナソニックは2004年に情報セキュリティ本部を立ち上げて以来、経営層を含めた全従業員へ年数回の情報セキュリティ教育をeラーニング学習や、テスト形式のeラーニングの活用により実施してきました。eラーニング学習では基本的な知識から最新の情報セキュリティ脅威までを学習し、テスト形式のeラーニングでは規程、ルール、意識の確認などの教育を行い、多い時は年4回実施しています。

 その結果、2004年当初と比べ、情報セキュリティについての知識が身につき、経営層を含めた従業員の意識が変わったことで、情報セキュリティを守るという風土が醸成されました。PDCAサイクルに即した継続的な教育の実施が、情報セキュリティ対策には最も重要です。

 「人」は「知識」を得れば「意識」が変わり、そして「意識」が変われば行動が変わります。経営層を含めた従業員の行動が変われば情報セキュリティに対する風土が醸成され、企業の情報セキュリティ意識も高まり、情報セキュリティ脅威に対するリスクも低減できます。
 
 情報セキュリティの要は「人」。「人」の育成には「継続的な教育を実施すること」が、情報セキュリティを守るための一番の近道なのだと考えます。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008286


IT・IT製品TOP > Key Conductors > 天野 哲也(パナソニック ソリューションテクノロジー株式会社) > 情報セキュリティの要!「人的対策」を改善する教育法

このページの先頭へ

Key Conductors Award 2016 上半期受賞者 発表
キーマンズネットとは
2008年から7年に渡り、品質管理業務と情報セキュリティを担当。CPO(個人情報保護管理者)として、プライバシーマークやISO27001の認証取得・運用・更新すべてを行ってきた経験を活かし、お客様や事業、従業員を守るための情報セキュリティ教育の重要性をセミナーや企業研修を通じ啓発している。趣味の台湾茶は師範代の腕前。

ページトップへ