情報セキュリティ教育の重要性

情報セキュリティ事故によって港湾関連で大きな被害が起きましたが、セキュリティ事故を起こさないためには様々な取り組みがあり、その中でも「教育」は重要な施策のひとつです。

今回は情報セキュリティ教育に関するお話です。

情報セキュリティ教育とは顧客情報や機密情報などを守るため、従業員、職員を対象として行う教育のことです。

情報セキュリティによって守るべき「情報」の代表的なものを紹介します。

顧客情報、個人情報
個人情報は個人を特定できる情報で名前や住所や他の情報と照らし合わせて個人を特定できる情報です。顧客情報は担当者の氏名やメールアドレス、電話番号や取引データなどがあります。
機密情報
機密情報は関係者以外が知ると関係者に不利益が生じるリスクがある文書で、個人情報や機密情報を含む文書などです。また、社内手続きで知った同僚の個人情報、顧客企業における取引情報、顧客から預かった情報など、業務上で知り得た情報も対象になる場合があります。

守るべき情報が流出してしまうと「情報セキュリティ事故」になり、金銭的損失、顧客喪失や事業の停止など大きな損失が発生する可能性があります。

また、損失だけでなく法的な責任や懲罰などを受けることもあります。

このような情報セキュリティ事故を起こさないため、様々な取り組みがありますが、重要な取り組みの一つとして「情報セキュリティ教育」があります。
従業員、職員に対して情報セキュリティ事故を起こさないため注意する点を啓蒙し、1人1人の意識を高めることで事故が起きるリスクを低減することができます。

情報セキュリティ教育を行う際に必ず取り上げられるテーマを紹介します。

デバイス
PCやスマートフォンには個人情報や機密情報が保存されていることが多く、取り扱いに注意することが必要です。なくさないことはもちろん、ウイルスや不正侵入によって情報が盗まれないようにすることにも注意を払う必要があります。
認証情報
IDやパスワードといった認証情報が流出してしまうと本人になりますまして様々なシステムから機密情報を盗まれてしまうリスクがあります。初期パスワードといった初期設定時に利用する簡単なものから変更していない、見られやすいところにメモするなどということがないようにする必要があります。
メール
メールの添付ファイルやURLを開いてウイルスに感染し情報が流出したという事例が多く発生しています。不審なメールを開かない、添付ファイルを開かない、URLをクリックしないなどの対策や開いてしまったら管理者に連絡するなどの対応が必要です。

これらの対策をしても情報セキュリティ事故を完全に防止することが難しく、最近は対策に加えて事故や事故と思われる事象を見たり起こした場合はすぐに連絡することを重点として教育する傾向にあります。

最近は多くの企業で情報セキュリティ教育を実施していますが、実施したいがどのように計画してよいか分からない、実施しているが効果が分からないなどの相談も寄せられています。

ARISではお客様の課題や目的に合った研修方法をご提案させていただき、導入いただいております。
また、職員、従業員だけでなく、セキュリティ担当者、担当者向けの研修や教育支援を行っていますので、お気軽にお問合せください。