セキュリティポリシーはある。でも、現場では守られていない
企業様とお話ししていると、
「セキュリティポリシーがそもそもない」
「慌てて作ったが、正直あまり見返されていない」
という声をよく聞きます。
形式としては整っていても、それが社員一人ひとりの行動につながっているかというと、少し心配になる場面も少なくありません。
便利なツールが増えた今、どこで情報が漏れるかわからない
最近はAIやクラウドサービスなど、便利なツールが身近になってきました。
その一方で、「どこで情報が漏れてしまう可能性があるのか」を、社員自身が正確に把握できていないケースも多いと感じます。実際の現場を見ていると、
- カフェで雑談しているときに固有名詞を口にしてしまう
- 誰でも出入りできる場所に個人情報が見える状態で置かれている
- これくらい大丈夫だろうという感覚でAIに情報を気軽に聞いてしまう
といった、“悪気のない行動”が積み重なっていることが少なくありません。
難しい説明では、自分事に置き換えられない
セキュリティ研修というと、
「個人情報は正しく取り扱いましょう」
「情報漏えいに注意しましょう」
といった、一般論や難しい言葉での説明になりがちです。
ただ、それだけでは「自分の普段の行動で何に気をつければいいのか」まではなかなか想像できません。研修中に「え、それもダメなんですか?」と驚かれることも多く、実際に守ってほしいポイントほど意外と知られていないのだと感じます。
「これもダメなの?」と気づく、現場に根付くセキュリティ研修
私たちが大切にしているのは、作って終わりにしない、現場に根付くセキュリティ研修です。実際の現場を見ながら、「守ってほしい具体的な行動」を研修の中でお伝えします。そうすると、「あっ…」とギクッとされる社員の方が少なくありません。この「気づき」が、行動を変えるきっかけになります。
研修後のアンケートから始める、管理職向けセキュリティ研修
研修後には、「これまで知っていたか」「意識できていたか」といった内容でアンケートを実施します。その結果をもとに、管理職向けのセキュリティ研修を行います。
- 管理者として、現場にどのポイントをどう伝えていくのか
- 現場で声かけすべきタイミングはどこか
- セキュリティポリシーを、どう見直していくべきか
を一緒に整理し、現場で継続できる形を考えていきます。
外部講師に頼りきらない、社内でセキュリティ研修を回す体制づくり
管理職研修の目的は、最終的に社内でセキュリティ研修を行っていける体制を作ることです。日々現場を見ている管理職の方だからこそ、自社の言葉で、実情に合った伝え方ができると考えています。
一方で、社内だけの研修では、
- 内容に慣れてしまう
- 他の業務が優先されて参加率が下がる
- なんとなく、なあなあになってしまう
といったことも起こりがちです。外部講師を使うメリットは、内容そのものよりも「見え方を変えられること」。いつもと違う立場の人間が話すことで、同じ内容でも改めて考えるきっかけになります。
技術対策だけでは防げない、人のミスによるセキュリティ事故
PCのウイルスや脆弱性など、基本的な知識は持っておくに越したことはありません。ただ、いち社員ではどうしようもできないこともあります。そのときに「どう対応すればよいか」を知っているかどうかが重要です。また、実際のセキュリティ事故の多くは、人のミスや思い込みから起こっています。1回の研修でも意識が大きく変わることはありますし、継続して研修を行うことで、より強固で最新の情報を現場に届けることができます。
作って終わりにしない、現場に根付くセキュリティ研修を目指して
セキュリティポリシーは、作ることが目的ではありません。現場で使われ、守られ、行動として定着していくことが大切です。作って終わりにしない、現場に根付くセキュリティ研修を通して、その形を私たちと一緒に整えていきませんか。
技術とノウハウでデジタルシフトをサポート
中小企業の頼れるパートナー
執筆者: 赤嶺 奈美(株式会社クロスディーズ プロジェクト進行統括マネジャー)
教育学部を卒業後、株式会社佐々木総研に税務課社員として入社。その後、総務課に異動し、請求業務や勤怠管理に携わる。2019年のICT活用推進課の発足時から所属し、社内文書の電子化やRPAの開発に取り組む。IT未経験から社内DXを推進した経験を活かし、現場視点での業務改善支援やローコードツール研修を担当している。