セキュリティ対策が効果を発揮する2つ前提条件
「リスクは無限、しかし、セキュリティ対策にかけられる資源は有限」というのは企業の人事部門、情報セキュリティ部門が共通して直面する課題です。
「限られた資源でいかに効果を出すか」が問われています。情報セキュリティ教育も例外ではありません。そのためには以下2つが重要です。
- 「目的」を明確にすること
- 「基礎」を理解すること
座学研修、eラーニング、ハンドブックなど、情報セキュリティ教育の方法論(How)は様々ですが、目的と基礎があってはじめてHowが活きてきます。
新入社員向けの情報セキュリティ教育の「目的」と「基礎」を見ていきます。
まず、新入社員向けの情報セキュリティ教育の「目的」についてです。ここでは、なぜ「新入社員向け」と対象を限定しているのか?を考えてみます。
キーワードは「環境の変化」です。IT環境、物理環境、職場環境、などがあります。リスクは変化によって顕在化しやすいと言われます。
学生から社会人へ、これは本人にとって大きな環境の変化であり、迎え入れる会社にとっても大きな変化となります。社会人1年目から2年目の変化より、学校卒業から社会人1年目の変化の方が一般的には大きいことは、多くの方が感覚的にわかることではないかと思います。
- 通勤で乗る電車が変わった
- パソコンが個人用だけでなく会社用のものも増えた
- ICカードを使うようになった
これらはすべて変化です。
この変化の大きさがリスクの大きさになるため、企業は新入社員向けの情報セキュリティ教育を実施しています。
言い換えると、「新入社員向け情報セキュリティ教育」の「目的(why)」は、新入社員一人ひとりに「環境が変わったと認識してもらうこと」といえます。
「社会人として」という言葉をよく耳にしますが、自分は「名刺を持った組織人である」「お客様や取引先に見られている」という他社との関係で仕事が成り立っている、ということをあらためて自覚してもらうことがスタートです。
「一番意識の低い人がその会社のセキュリティレベルを表す」
この言葉も情報セキュリティが組織力で成り立っていることを表しています。
次に、新入社員向けの情報セキュリティ教育における「基礎」です。
「情報セキュリティ=漏洩対策」
これは間違いではないのですが、グローバルスタンダード(ISO)の定義に照らすと十分とは言えません。ISOにおいては、機密性(漏洩対策)だけでなく、完全正(情報の正しさ)、可用性(情報の使いやすさ)も情報セキュリティと位置付けられます。
「正しい情報を正しい範囲で使いやすく」
これは、情報セキュリティはもちろん、仕事をする上で当たり前とも言える内容です。
情報セキュリティは特別なもの、ではなく、「社会人として身につけるべきビジネスマナー・モラルのひとつ」と位置付けることができます。
同じ内容であっても、「伝え方」によって結果が異なってくるケースはよくあります。
セキュリティルールが浸透しない、意識が上がらない、という課題や悩みを多くのお客様からよくお聞きします。 それは、情報セキュリティは「自分たちの仕事を面倒なルールで縛り付けるもの」という誤解によって引き起こされていると感じます。
人は面倒なものや、自分と遠い存在と思う物事に興味、関心が湧きません。だから伝え方を変える必要があります。
仕事と情報セキュリティが別個に存在するのではなく、正しい情報を正しい範囲で活用して仕事をすること、仕事と一体になって情報セキュリティが実現されている、という基礎(ベースメント)をばらつきなく理解させることで、ルールの浸透度合い、意識付けも変わってきます。