新卒入社の季節
今年も多くの企業で新しい社員が増える時期となりました。特に新卒社員にとっては初めての社会人生活となり、右も左もわからない、とまでは言わずとも、一般的な社会人としての常識が身についていないことは珍しくありません。
これは情報セキュリティ・個人情報保護の分野についても同様で、当社でも「新入社員のセキュリティ意識に不安がある」といった旨のご相談を多く承ってきました。
かく言う筆者も、初めて会社員になった際、入社1か月以内で会社の入館証を紛失するというインシデントを起こした経験があります。
このようなリスク認識から、多くの企業では情報セキュリティ・個人情報保護に関する新入社員教育を行い、新入社員の意識向上を図っています。しかし、研修のメッセージや、内容の粒度感は企業によって様々です。
そこで今回は、新入社員研修で伝えるべき内容について考察したいと思います。
なお、本コラムの内容に合わせた研修資料サンプルが、最下段より無料でダウンロード可能です。企業ごとに細かいルールなど異なる点もあり、必要に応じて修正いただく前提ではありますが、参考として是非ご活用ください。
まずは重要性を伝える
企業の情報セキュリティや個人情報保護に関する業務を担当されている皆様は、恐らくある程度の実務経験をお持ちの方が多いかと思います。もはやご自身の新卒の頃の感覚を思い出すのは難しいかもしれませんが、少なくとも学生時代から情報セキュリティや個人情報保護に関心があったという方はごく少数ではないでしょうか。
そうであるならば、新入社員も情報セキュリティや個人情報保護に関心がない、それどころか、そもそも情報セキュリティって何?機密情報って何?個人情報って何?それを保護するって何?という状態である可能性を考慮する必要があります。
従って、まずは情報セキュリティ・個人情報保護の重要性を理解してもらう必要があります。
とは言え、単に「重要なんだ!」と熱弁しても、そもそも関心が無い人には伝わりません。「なぜ重要なのか」を理解させる必要かあります。
ではなぜ情報セキュリティ・個人情報保護は重要なのでしょうか。
「取引先からの信頼性を高めるため」?「お客様に安心してサービスを利用していただくため」?もちろんそれらは正しいです。しかし、少し綺麗ごとにも見えてしまい、関心が無い人、特に入社したばかりの人からすると、あまり自分事として捉えられないかもしれません。
生々しく重要性を伝えられるのは、やはり数字、特に金額です。
インシデントが発生した際の損害額などを示すことにより、「自分が何かルール違反を犯すことでこれだけの損害を会社に与えてしまうかもしれない」「場合によってはその金額を賠償請求されるかもしれない」といった考えを持たせることができます。それにより「自分を守るために(も)」情報セキュリティ・個人情報保護が重要である、と、自分事として捉えることで、初めて重要性が伝わります。
一般論的なインシデントの損害額は、各種のセキュリティ団体やセキュリティベンダー・保険会社などが資料を公開しています。その他、個別のインシデントについても、場合によってはその企業の株価の下落や営業利益の減少などの情報が入手可能です。こういった情報から特にインパクトのありそうなものを伝えることが有効でしょう。
そもそも何なのか
情報セキュリティや個人情報保護の重要性は伝わったとします。では、その重要な情報セキュリティ・個人情報保護というのは、いったい何をすることでしょう。
研修の時間的制約などがあるのであれば、ここでもう、最低限守ってほしいルールの伝達をしてもいいでしょう。しかし、せっかくならもう少し本質的なことを理解してもらいたいところです。
1.情報セキュリティとは?
ではまず、情報セキュリティとは何でしょうか。
ISO 27000の定義に従っても良いのですが、全体的に言葉が堅苦しいので、執筆時点で「情報セキュリティとは」の検索結果で最初に出た、総務省の「国民のためのサイバーセキュリティサイト」の説明を一旦引用してみます。
企業や組織における情報セキュリティとは、企業や組織の情報資産を「機密性」、「完全性」、「可用性」に関する脅威から保護することです。 (出典https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_executive_02.html)
まあ、その通りです。よく言われる「CIA」というものですね。確かにこの概念は重要で、特にセキュリティに「完全性」、「可用性」の観点も含まれることは、あまり意識されない点ですので、説明する価値はあると思います。
ただ、「CIA」の説明だけ見ても、何も知らない人からするとピンと来ません。それは、「情報資産」「脅威から保護」が良く分からないからですね。
「情報資産」が分からないと、そもそも何を保護しなければならないのかが分かりません。「脅威から保護」と言われても、そもそもどんな脅威があるのかも分かりませんし、当然保護する方法も自分では分かりません。
では「情報資産」とは何でしょう。これも上記の総務省のサイトの説明を見てみます。
情報資産とは、企業や組織などで保有している情報全般のことです。(後略) (出典:https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_executive_02.html)
続いて、「脅威から保護」について。ここは総務省のサイトではさすがに記載が無いので、ISO 27000から引用します。
脅威(threat) システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因。
分かるような、分からないような、という感じですね。また、脅威と関連する用語として「脆(ぜい)弱性」があります。そちらの定義も見てみましょう。
ぜい弱性(vulnerability) 一つ以上の脅威によって付け込まれる可能性のある,資産又は管理策の弱点。
やっぱり良く分かりませんね。
言葉の定義だけ伝えても何も呑み込めないので、ここは単純化した具体例を示してあげるのが有効かと思われます。
当社の資料サンプルでは、泥棒に空き巣に入られるという事例で、脅威と脆弱性を説明しています。
また、実際にはどのような脅威があるのかについても、代表的なものは知っておいてもらいたいところです。これについては実際のインシデント事例(他社事例含め)ベースで、どのような脅威があり、どのように対策・対処しなければならないのかを説明するのが良いでしょう。
特に標的型攻撃やフィッシングなどの、従業員個々の運用が原因で被害を受けるタイプの脅威は、一回でも聞いたことがあれば多少なりとも警戒し、結果被害を防止できる可能性があります。
2. 個人情報保護とは?
さて、次は個人情報保護です。字面だけ見ると、対象が個人情報に限定されているだけで情報セキュリティと変わらないようにも見えてしまうため、注意が必要です。
個人情報保護にあって情報セキュリティには無い要素、それは「本人の権利の保護」の観点です。個人情報保護法、またPマーク保有企業であればJIS Q 15001や構築運用指針などで、本人の権利保護ためにやらなければならないこと・やってはいけないことなどが定められています。
その詳細を全て新入社員研修で伝えるのは難しいと思いますので、例えば目的外利用の禁止や第三者提供の制限など、重要な点だけは抑えつつ、分からないことがあれば必ず所定の部門に相談する旨くらいは伝えておいた方が良いでしょう。
また、「個人情報」とは何か、についてもしっかり理解してもらう必要があります。
特に容易照合性の考え方は知らないケースが多く、「データから氏名は消したから個人情報じゃないでしょ」と安易に考えてしまう危険性があります。
最低限守ってほしいこと
ここまでで、情報セキュリティ・個人情報保護の重要性、およびそれらが何なのか、ということについて伝えられました。
あとは具体的なアクション・気を付けてほしいことなどを、自社のルールに合わせて伝えましょう。
もちろんルールは全て守ってほしいものですが、情報セキュリティ・個人情報保護に関するルールは、多くの企業でかなりのボリュームとなっています。それを全て伝えて覚えてもらうというのは現実的ではありません。
従ってまずは、従業員であれば誰でも関係する基本的なルールを最低限伝えましょう。
特に、守らなくても実業務に支障がないルールを伝えることが重要だと考えられます。
例えば、業務で使用するシステムのアカウントの申請・承認ルールなどは重要なセキュリティルールの一つです。しかし、これは1従業員の立場からすると、そもそも申請しないとアカウントが発行されず、業務ができないのだから、業務を行う上でいずれ必ず知ることです。限られた研修時間の中で、このようなものを優先して伝える必要はありません。
一方、例えば「機密情報をメールの添付ファイルで送らない」といったルールは、守らなくても業務が回ってしまいます。こういうルールは、知らなければほぼ確実に違反してしまいます。ただし、例えばDLP等で技術的に制御できている場合には、知らなくとも違反し得ないということで、優先順位が下がることもあります。
また、インシデントを発見した時や、その他何か不明点があるときなどの報告・相談先を伝えておくこと、加えて、報告・相談をすることのハードルを下げてあげることも重要です。
気を付けていてもやはりミスは起こるものですし、自社ルールについて分からないことも多々あります。特に新入社員の場合、「入社して早々問題を起こした」「こんなことも分からないのか」などと思われることへの恐怖感は、既存社員よりもかなり大きいと考えられます(筆者も冒頭で記載した入館証紛失の際は、このままクビになると怯えながら報告していました)。
このような心理的ハードルのせいで、適切な報告・相談が行われなければ、それこそ大事故の発生や被害拡大に繋がりかねません。
「ミスや無知は誰にでもあり、恥ずかしいことではない。だから一切の遠慮なく報告・相談してほしい。」といった、なるべくハードルを下げてあげる形で促してあげましょう。
最後に
新入社員、特に新卒社員に知らない・分からないことが多いのは当然のことです。だから新入社員を行う必要があるのです。そして当然、研修の内容も知らない・分からないことを前提に考える必要があります。
本コラムでは、情報セキュリティ・個人情報保護についての関心も知識もゼロの新入社員を前提として、どのような内容の研修を行うのが良いかを考察してきました。
この考察を基に、新入社員研修資料のサンプルを作成し、以下のページにて無料で配布しております。
各社ごとに伝えるべき内容や、細かなルールなども異なるため、必要に応じて修正いただく前提ではありますが、なるべく汎用的な内容となるよう作成しておりますので、参考として是非ご活用ください。
