推奨される取り組み

8 従業者への教育

設問

経営層や派遣を含む全ての従業者に対し、情報セキュリティに関する自組織の取組や関連規程類について、計画的な教育や指導を実施していますか。

(情報セキュリティ教育は、全員に漏れなく定期的に行うことが大切です。セキュリティ対策上の順守事項、禁止事項の徹底とともに、情報セキュリティの脅威と対策についても教育します。)

説明

従業者に対する教育は、情報セキュリティ対策の有効性を向上させるために必要不可欠です。関係者全員に対する教育を適切に実施し、その効果が得られていることを確認することによって、技術的なセキュリティ対策との相乗効果を期待できます。特に、保護すべき情報資産へのアクセス管理を確実なものとするために、パスワードや鍵の管理の徹底はとても大切です。

対策のポイント

1.ポリシー及び関連規程を従業者(派遣を含む)が理解し、実践するために必要な教育を実施しているか
2.パスワードの管理や暗号鍵の管理について教育を行なっているか
3.単に出来合いの教材だけでなく、自組織の状況に即した適切な教材を用意しているか
4.教育は、定期的に、従業者全員に漏れなく実施しているか
5.教育が有効であることを確認するための手立てを用意しているか

解説

従業者に対する教育は、情報セキュリティ対策の有効性を向上させるために必要不可欠なものです。従業者に対する教育には、ポリシーや関連規程の周知といった全体を俯瞰するための事項から、パスワードの管理や暗号鍵の管理、電子メールを使用する際の注意点といった個別の項目まで幅広く実施する必要があります。

基本的・一般的な事項については市販されている教材を使用することで、費用と効果のバランスをとることができますが、事業活動に直接関わる項目や、特に重点を置いている項目、対策を徹底したい項目については、自組織の状況に即した教材を作成するなどの工夫をすることも必要です。

また、職位や職種によって、情報セキュリティ上の責任が異なるので、教育や研修は、すべての従業者に共通のものと、従業者の職位や職種(情報セキュリティ管理者向け、一般従業員向け、管理職向けなど)に応じたものとに分けて実施すると効果的です。

教育は1度実施しただけで、100%の効果が得られるというものではないので、半年ごとや1年ごとというように定期的に実施することが必要です。新規採用や異動の際にも適宜教育を行います。また、社会状況の変化や技術の進歩に伴い、新規に教育すべき項目が出てくるので、それらにキャッチアップするためにも、派遣を含むすべての従業者に定期的な教育を実施することが必要となります。

教育の効果は従業者一人一人によっても異なります。すべての従業者の教育効果を一定のレベル以上とするためには、効果を確認するためのテストを実施したり、何らかのインセンティブを設けたりするなどの施策が必要な場合もあります。情報セキュリティ上の事故が発生したと仮定した事故対応訓練を実施することは、実際に事故が発生した場合の被害を低減することや従業者の意識喚起に効果があります。