Eラーニングでの情報セキュリティ研修を効果的にするには?社員に情報セキュリティの大切さを根付かせるために必要なこと
目次
コロナ禍の影響でデジタル化の推進やリモートワークが普及し、ワークスタイルが大きく変化しました。それにともない、情報漏洩のリスクや不正アクセスの事件・事故が近年多発し、企業や組織における情報セキュリティリスクはいっそう高まっています。また、情報セキュリティを意識する・しないにかかわらず、情報端末やアクセス手法、利用シーンの多様化が、これまで以上に情報を取り扱う人の数や幅を広げています。
こうした状況から「情報セキュリティ教育」の重要性が増大し、人事部門やIT部門のご担当者は、以前にも増して対応に追われているのではないかと思います。ワークスタイルの変化に合わせて、実際に顔を合わせて行う集合研修に代わり「Eラーニング」を選択する企業も増えています。時間や距離に妨げられず、多くの人々が受講できるEラーニングですが、はたして情報セキュリティ教育においてこの手法は本当に実効性があると言えるのでしょうか。
セキュリティにおいて「人」が大事であることは理解していても、有効な教育を行うためにはどうすればよいか、お悩みの担当者も少なくないでしょう。
この記事では、数多くの企業の組織改革を支援してきたソフィアだからこそ見えてきた情報セキュリティ教育の考え方と課題、限られたリソースで高い効果を上げるためのポイントを解説します。
ぜひご一読いただき、御社の有効な情報セキュリティ教育立案と実施にお役立てください。
情報セキュリティ教育「本当に」できていますか?
情報の流出・漏洩から不正アクセスによる被害、従業員によるSNS投稿の炎上など、情報セキュリティを取り巻く事件・事故は毎日のように発生しています。今では多くの人が仕事やプライベートを問わず、複数の情報端末をいつでもどこでも操作することが当たり前になってきています。加えて、業務の効率化や、企業の社会的責任といった面から、経営に関する情報を社内外のネットワーク上で共有する潮流も加速しています。
このような状況下では、セキュリティリスクもかつてないほど増大しており、システムや技術面での対策強化といった施策に加えて、情報セキュリティに関する教育の重要性・必要性もますます高まってきていると言えるでしょう。
多くの企業・組織では、外部講師による集合研修やEラーニングによって、一般的な情報セキュリティ知識の習得や社員のモラル向上を目的とした研修を行っています。また、セキュリティコンサルやシステムベンダー、研修会社などさまざまな専門家が情報セキュリティ研修の講師派遣や教材の提供を行っていますが、内容はさほど大きく変わりません。人事部などの研修担当部署は、情報セキュリティ教育に関しても通常の社員教育カリキュラムと同じく、価格や利便性、これまでの取引実績等で研修の委託先を選択するケースが多いと思います。
研修担当部署にしてみれば情報セキュリティ研修だけを特別扱いする理由もなく、他の研修と同様の基準で委託先を選定するのも無理はありません。しかし、前述したような不正アクセスによる被害やSNS投稿の炎上などが後をたたないというのも事実であり、情報セキュリティへの対応は会社の命運を左右するといっても過言ではないのです。「自社の信頼を守るための適切な情報セキュリティの教育ができている」と、自信を持って言える状態になるには、単なるリスクやルールの周知徹底を超え、人の心理や感情を考慮した「一歩先を行く教育」が必要不可欠です。
「形だけの情報セキュリティ教育」や「納得感のないルールの強制」は面従腹背を生む
数年前、とある学校法人で要配慮個人情報の一時紛失事故が起こり、ニュースになりました。本来外部持ち出し禁止のリストを、担当教員が職務遂行上の必要性から紙にコピーして学校外に持ち出し、クリアファイルごと置き忘れてきてしまったのです。翌日、近隣の住民がファイルを発見して学校に連絡、情報の流出には至りませんでしたが一時紛失が表面化、謝罪と経緯説明が行われました。
このケースでは「外部持ち出し禁止」のルールがあったにもかかわらず、現場の職員の判断で、複写・持ち出しが行われてしまったわけです。どうしても就業時間中に学校内で対応することができない業務が発生し、その業務に持ち出し禁止の情報の参照が必要な場合はどうするのか、具体的な方策が事前に検討されないまま、単に「禁止」というルールだけが決まってしまったことも原因と言えるでしょう。
「ルールやポリシーを整備した」「情報セキュリティ研修を実施した」という事実があればアセスメントでの評価は上がりますが、必ずしも本当に情報セキュリティが強化されたことにはなりません。
システムやルールを策定しても、それを運用する人の感情や組織の風土・文化を視野に入れて考えられていなければ、正しい運用がなされず、上辺だけの理解にとどまってしまいます。先ほどの学校法人の例でいえば、資料を紛失した担当教員に悪意はなかったかもしれませんが、そこには形ばかりのルールよりも「現場の実情」の方が優先されてしかるべき、という感情があったかもしれません。
「従業員や現場の状況・感情を無視したルールやシステムの押しつけ」はともすれば従業員の面従腹背につながり、従ったふりをしながら抜け道を探し、ヒヤリハット(インシデントの芽)を隠すようになるおそれもあります。これは情報セキュリティリスクを見えにくく(不可視化)する要因となります。
情報セキュリティリスク不可視化の原因としては、ほかにも
- 業務の成果を優先するあまりセキュリティリスクに対して意識がまわらないほどの、多忙な現場
- ルールが増えたり、手順が煩雑になったりすることはできるだけ避けたいという従業員の感情
- 情報セキュリティを重視しない上司の存在(部下もそれが当たり前になる)
などが考えられます。
また、ルールを絶対的なものとして押し付けると現場が思考停止して考えることをやめてしまい、前提から外れる事態に直面した際に判断・対処できなくなるという危険もあります。先の例でいえば「リストは持ち出し禁止」というルールと「リストに記載された個人情報を学校の外に持ち出さないと、相手に連絡のつく時間に電話できない」という事態が相克し、判断に困ってのルール違反でした。
現場の状況は日々、その都度変化していきます。すべての事象を想定してルール化することは事実上不可能と言えるでしょう。費用や時間がかかり、がんじがらめになることで業務効率が低下し、現場のモチベーションも下がってしまうからです。それよりもむしろ、不測の事態にも適切に対処できるよう、腹落ちと納得感を持ってルールの意味を共有し、セキュリティに関するリテラシーを高める教育を行う方が効果的かつ重要と言えます。
それを踏まえて情報セキュリティ教育・研修を実施するためには、人と人との関係性を築く「インターナルコミュニケーション」の視点が不可欠です。私たちソフィアは、これまで数多くの企業・組織でインターナルコミュニケーション施策をサポートしてきました。次の章では、多様なノウハウと経験を有するソフィアだからこそ気づく「情報セキュリティ」の優先順位を高める組織・風土作りについてご紹介します。
インターナルコミュニケーションについて詳しく知りたい方はこちらの記事もご覧ください。
社員にとって「情報セキュリティ」の優先順位をあげる組織・風土作りとは?
企業が従業員の情報セキュリティ意識向上に向けて、情報リテラシーやセキュリティ、リスク管理というテーマで研修を設計する際には、前述のように、一般的な事例や手法に通じた外部講師の招聘がまず検討されます。しかし、一般的な事例を用いた、外部講師による講義は、多くの場合受講者の記憶に残りません。人は自らが手痛い失敗を経験したり、身近な人の失敗を目の当たりにしたりしたときに、次から気をつけようという意識がより強まるものです。さらに、「上司から部下へ」「先輩から後輩へ」の教育は実際の仕事に紐づいているだけに、外部講師の話よりも説得力があります。「しくじり先生 俺みたいになるな」というテレビ番組が人気でしたが、当事者の口から臨場感を持って語られる経験談は、聞く者の心に「腹落ち」する納得をもたらすのです。
また、製造業の現場では、「5S(整理・整頓・清掃・清潔・しつけ)」や「5定(定品・定位置・定量・定時・定高)」といった安全と効率、品質改善のための習慣が多くの企業で伝統的に根付いています。ちょっとした気のゆるみや個人の勝手な判断が、ケガや重大事故につながるリスクが高いためです。
その一方で、命や健康へ即座に影響をおよぼさない「情報」を扱う現場においては、製造の現場ほど徹底したリスク対策がなされていないという現状があります。
製造現場に「指さし確認」などの基本動作を根付かせるのと同様に、情報を扱う従業員がプロフェッショナルとして当たり前のものとして情報セキュリティを徹底できるようにするには、従業員が「情報セキュリティは企業の価値や仕事の質に直結する」と認識し、納得感を持って取り組めるようにすることが重要です。言い換えると「ビジョン・ドリブンで、情報セキュリティを組織の文化・風土として定着させる」ということです。
社員へ情報セキュリティへの意識を根付かせるために——本当に意味のある情報セキュリティ教育・研修を実施する4つのポイント
繰り返しになりますが、情報セキュリティの要は「人」です。企業がどれだけルールの整備やEラーニングに力を入れたところで、それらが従業員の意識変革につながっていなければ、情報セキュリティリスクは低減しません。情報セキュリティを組織の文化・風土として定着させるためには、従業員(=情報セキュリティに関わる当事者)の経験(エンプロイーエクスペリエンス)を重視し、従業員との合意形成を図りながら取り組みを進めていくことが大切です。
エンプロイーエクスペリエンスについてはこちらの記事をご参照ください.
HR業界のトレンド「エンプロイーエクスペリエンス(EX)」とは?向上させるポイントを解説
エンプロイーエクスペリエンスとは「従業員の経験(体験)」。社員満足度・育成状況・スキル・働き方・心身の健康状態…
具体的には、PDCAサイクルの順序を組みなおし、現状把握から始める「CAPD」のプロセスがカギになります。
― CAPD ―
C=Check(現状把握・計測):現状の問題点などを把握・計測する
A=Act(改善):現状把握・計測をもとに改善内容を立案する
P=Plan(計画):改善案をもとに具体的な施策を計画する
D=Do(実行):計画に基づき業務を実行する
以下では、CAPDサイクルをスムーズに進め、意味のある情報セキュリティ教育を導入するための4つのポイントを解説します。
1. 情報セキュリティの考え方と上層部のモチベーション
「私たちはなぜ情報セキュリティを重要視するのか」という情報セキュリティの問題を一般論としてではなく、自社ならではのテーマとして企業理念やビジョンと結び付けて従業員が考えられるように、会社の価値観としてその重要性を経営者から発信することが有効です。
そのためにはまず、経営陣とマネジャー層が対策の必要性について腹落ちし、納得感をもって現場の意識・行動改革に取り組んでいかなければなりません。これがCDPAの前提となります。そして、その合意形成ができたらCDPAのプロセスに従って、誰が・いつ・どのように改善に取り組んでいくのかということや、ターゲットを明確にして何を・どのメディアで・どんなコンテンツやメッセージで伝えるかということなどを具体化していきます。
その意味では情報セキュリティの教育・研修は、もはや企業や組織としての情報セキュリティ戦略の中核を成すものと言えるでしょう。
2. 適切な教育施策を導き出す「現状の把握」の実施
適切な教育施策を導き出すには、CAPDの第1段階であるCheck(調査)による現状把握が大切です。ここでの主な目的は、全社員及び各部門がどのような情報を扱っていてそれぞれにどのようなリスクがあり、情報リスクに対して従業員がどのような意識を持っているのか、を明らかにすることです。
前述した事故のケースで言えば、個人情報リストの管理が厳重ではなく容易に複写できる状況であったこと、属人的な判断が許容される風土であったこと、非常対応時のオプションが想定されていなかったこと、など問題点がいくつも浮かび上がります。調査を通じてこうした現場の実情を把握し、社員だけでなく情報サプライチェーン上のすべての関係者が「自分ごと」としてセキュリティの問題を考えられるよう、研修や教育のプロセスを設計しましょう。
また、この段階から現場を巻き込んでいくことで、情報セキュリティの重要性をあらためて社内に浸透させ、その目的の理解と協力をうながすことができます。その際重要なのは、正社員だけでなく必ず派遣社員やアルバイト、業務委託先など、情報セキュリティリスクにかかわるすべての従業者を対象に調査を行うことです。社内だけで管理を徹底しても、全体を貫く情報の流れの一部分からセキュリティに綻びが生じる危険性が残ります。セキュリティリスクは徹底的に洗い出したうえで、課題とプライオリティを明確にして臨みましょう。
3. 現状把握の結果から研修プログラムを設計する
前段のプロセスによって現状の把握が完了したら、そこから得られたアウトプット(=明確化された課題とプライオリティ)に基づいて教育・研修の具体的なプログラムを設計していきます。
ここでは、現状調査で明らかになった従業員の心理や意識、組織風土や文化を踏まえて「いかに情報セキュリティを『自分ごと』として受講者に理解してもらうか」という視点が重要となります。「情報漏えいに注意すべき」「SNSへ不用意な投稿をしてはならない」などのルールを守ることが、「会社にとって、自分にとってなぜ大切なのか」ということについて従業員が腹落ちしない限り、「人的セキュリティホール」は防ぎようがないからです。
従業員の情報セキュリティ意識を高めるためには、年に1回程度のEラーニング研修では不十分です。研修の効果が持続するよう、自社の業務や社内風土に適した関連コンテンツの開発と発信、職場における対話の促進など、さまざまな情報接点を生かした施策を十分に検討し、有用性の高いプログラムを作成していきましょう。たとえば、社内における情報セキュリティ事故のエピソードを「上司から部下へ」「先輩から後輩へ」と、実際の仕事に紐づけて伝えていくことで、より実感される内容として理解が進みます。
4. 情報セキュリティの研修内容を社内に浸透させていく
経営トップが、情報セキュリティのポリシーやルールを自社の理念に関連付けて示し、まずはマネジャー層に浸透させ、率先垂範できるようにすることが有効です。一過性の研修だけでなくOJTにも反映させることで、企業の文化として定着させていくことで社員の意識が変わり、やがては情報セキュリティを重視する組織風土へとつながっていきます。そしてCAPDサイクルを次のCheckに進め、ターゲット別の接点や導線に基づいて施策の設計、制度の見直しを実施していくことでさらに効果が高まっていくでしょう。1度実施して終わりではなく、終わりなき改善が情報セキュリティの意識を強化していくという認識を持つことがポイントです。
まとめ
企業による環境汚染や事故、品質偽装などが日々ニュースとして報道されます。同様に、情報の漏えいやサイバーアタックなど情報セキュリティに関するニュースも年々増加しています。環境汚染や工場での事故、食品や製造物の偽装や欠陥は目に見えますが、情報は目に見えず可視化して認識しにくいものです。そのため、扱う側が危険性を認識しにくく、ちょっとした違反はつい見逃しがちになります。
いまや情報端末は周囲に無数にあり、いつでもどこからでもアクセスが可能で非常に便利です。その反面、私たちは日々何気ない1クリックで自分や自分の会社だけでなく、顧客や取引先の運命をも大きく変えるような危険と隣り合わせにありながら仕事をしているとも言えるのです。その意味と責任を、年に1度のEラーニングで実感することができるでしょうか。
経営や社員の意識・行動に変革を起こすには、ソフィアが専門とするインターナルコミュニケーションの手法が有効です。まずは経営陣や、担当者が情報セキュリティの重要性を実感することから、現場の実態調査を通じて情報セキュリティを「自分ごと」として腹落ちするようなシナリオ設計や施策の実施まで徹底的にサポートしてまいります。
研修や社員教育を委託する際は、仕組みだけではなく目に見えない「社員の感情」や「組織文化」までを対象にし、そこから抽出された問題に対して具体的な施策の立案や実行まで相談できるベンダーを選ぶことが大切です。私たちソフィアは、20年を越える経験とノウハウを持つ社内意識変革のプロフェッショナルとして、皆様の良き伴走者でありたいと考えています。どうぞお気軽にご相談ください。
株式会社ソフィア
取締役、シニア コミュニケーションコンサルタント
築地 健
インターナルコミュニケーションの現状把握から戦略策定、ツール導入支援まで幅広く担当しています。昨今では、DX推進のためのチェンジマネジメント支援も行っています。国際団体IABC日本支部の代表を務めています。
株式会社ソフィア
取締役、シニア コミュニケーションコンサルタント
築地 健
インターナルコミュニケーションの現状把握から戦略策定、ツール導入支援まで幅広く担当しています。昨今では、DX推進のためのチェンジマネジメント支援も行っています。国際団体IABC日本支部の代表を務めています。
