企業にとって、機密情報の漏えいは何としても絶対に避けなければならない問題です。
自社の技術やノウハウはもちろん、顧客情報が流出してしまうと、たちまち信頼を失い多大な損害につながってしまいます。
このような事態を防ぐためには、社員一人ひとりに情報漏えい事故が発生した場合の深刻なリスクを理解させ、日常業務における積極的なセキュリティ対策の実践を促す必要性があります。
今回は、企業のセキュリティ担当者が、セキュリティ意識向上を目的として社員へ定期的な注意喚起を行う際に気を付けておきたいポイントをご紹介します。
1.セキュリティ対策の強化は企業にとって最重要課題の1つ
企業が保有する重要な情報資産の中には、企業独自の技術やノウハウといった営業秘密情報、社員や顧客等の個人情報などが含まれています。
万が一これらの情報資産がサイバー攻撃等により漏えいしてしまった場合、企業への影響の大きさは計り知れません。
被害者への損害賠償、顧客との取引停止、風評被害によるブランドイメージの低下など、企業の社会的信用度はあっという間に地に落ちることになります。
このような信用低下のリスクを最小限に抑え、大切な情報資産を守るためにも、セキュリティ対策を強化することは企業にとって最重要課題の1つといえるでしょう。
2.セキュリティ対策には社員一人ひとりの意識向上が欠かせない
情報漏えい等のセキュリティ事故は、いつ、誰が、どんなきっかけで起こしても全く不思議ではありません。
東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査(2020年)」によると、情報漏えいの原因で「ウイルス感染・不正アクセス」に次いで多かったのが「誤送信」や「紛失」といったヒューマンエラーであり、全体の約45%を占めています。
すなわち、たった1人の社員による「うっかりミス」で取り返しのつかない情報漏えい事故が起きる可能性が極めて高いということであり、社員一人ひとりのセキュリティ対策への意識付けが如何に重要かお分かりいただけると思います。
3.セキュリティの注意喚起を社員に浸透させるためのポイント
社員のセキュリティ対策に対する意識を高めるためには、セキュリティに関する定期的な注意喚起が有効です。
とは言え、ただ漠然と注意喚起を行うだけでは、「既読スルー」されるか、最悪見向きもされない可能性が高いです。
社員一人ひとりに日常業務の中で情報セキュリティへの具体的な取り組みを促すには、読み手である社員の心に刺さるよう、発信する側にも「ひと工夫」必要になります。
タイトルを「呼びかけ形式」にして関心を集める
社内掲示板等で注意喚起を行う際に、まず読み手の目に入るのはタイトルです。
つまり、タイトルで「おや?」と興味・関心を引けなければ、業務多忙な社員は内容にさっぱり目を通してくれないことになります。
そのため、少しでも社員が内容に目を通したくなるように、タイトルを「呼びかけ形式」にすると効果的です。
「外部記憶媒体(USBメモリ)の危険性について」
「外部記憶媒体(USBメモリ)の危険性を知っていますか?」
・・・どちらを読んでみたいと思うかは一目瞭然ですね。
以下、呼びかけ形式の一例です。ぜひ参考にしてみてください。
・そのパスワード、本当に安全ですか?
・そのメール、本当に信用しても大丈夫ですか?
・テレワーク時のセキュリティルール、守れていますか?
・長期休暇前後に潜む情報セキュリティ脅威にご用心
・電子メールの誤送信にご注意を
適切なタイミングを見計らって「旬」のテーマを選ぶ
実際にセキュリティの注意喚起を行うにあたり、「この時期だからこそ取り上げるのにふさわしい」といった「旬」のテーマを選定することで、社員の注意をさらに引き付けることができます。
社内イベントに連動したテーマを選ぶ
毎年決まった時期に行われる社内行事や、オフィスレイアウトの変更といった特別なイベントが発生するタイミングに合わせ、それらに関連するテーマを設定します。
例えば、新入社員の研修期間(4月頃)であれば、入社直後で学生気分がまだ完全に抜けきっていない新入社員向けに、「会社のルール周知」や「SNS利用上の心得」に関する注意喚起を行うと良いでしょう。
近々社内のオフィスレイアウト変更を予定しているなら、「機密情報を含む書類の持ち出し・廃棄ルール」について周知徹底すると効果的です。
セキュリティ公的機関の注意喚起に便乗する
政府(総務省・経済産業省など)やIPA(独立行政法人情報処理推進機構)、NISC(内閣サイバーセキュリティセンター)といった公的機関の注意喚起に便乗し、社員に情報セキュリティ対策の徹底を呼びかける方法もあります。
例えばIPAでは、長期休暇を取得する人が増えるゴールデンウィークや夏休み、年末年始に、「長期休暇における情報セキュリティ対策」として注意喚起を行っています。
「企業・組織/個人」「休暇前/休暇中/休暇後」のパート別に分かれて記載されているため、社内の実情に合わせて特に重点的に訴えたい部分にのみ絞って注意喚起を行うことができます。
直近に発生したセキュリティ事故の内容に触れる
世間で重大な情報漏えい事故が発生した直後は、ホットな話題としてセキュリティに関する事項がニュース等で頻繫に取り上げられることから、社員の情報セキュリティへの関心も高まっていることが予想されます。
そこで、この機を逃さず全社向けに注意喚起を行うことで、会社としてセキュリティ対策をないがしろにしていない姿勢を社員にアピールすることができ、信頼の向上につながります。
実際の行動を促すなら「列挙」ではなく「絞り込み」
仮に、「適切なパスワード管理を心がけましょう」というテーマに関して、以下の情報をまとめて一気に伝えられたとしたら、皆さんはどう感じますか?
・複数のサービスで同一のパスワードを使い回してはいけない
・パスワードを他人の目に触れる場所に記録してはいけない
・パスワードは名前や誕生日を避け、第三者に推測されにくい文字列にする
・パスワードが第三者に漏えいした可能性がある場合、速やかに変更する
・過去に使用した類似パスワードを再利用してはいけない
・パスワードを定期的に変更するよりも、推測しにくい固有のパスワードを作成する
上記はどれも安全にパスワードを管理するうえで心がけたい重要事項ばかりですが、項目数が多くポイントが希薄になり、印象に残りにくいのではないでしょうか。
この時、一度の注意喚起につきトピックを極力絞り込むことで、読み手にメッセージが伝わりやすくなります。
前回は「複数のパスワードを使い回してはいけない理由」を重点的に伝え、今回は「第三者に推測されにくい堅牢なパスワードを作る方法」をメインとして伝える、・・・といったように、定期的に同一のテーマを取り上げつつ、毎回異なる観点から1つ1つ丁寧に切り込み、パスワード管理の重要性をじっくりと読み手に理解させるのです。
なお、今回例に挙げた「適切なパスワード管理」に限らず、どのようなテーマであっても、取り組むべきセキュリティ対策を一度にたくさん列挙するよりも、実践すべき1つのセキュリティ対策を具体的に伝えるほうが、社員に自発的な行動を促すことができます。
数々の行うべき対策を一挙に伝えられて「あれもこれも守らなければならない」と思うよりも、その必要性を理解したうえでシンプルに「これだけは守らなければならない」と思っているほうが、実際の行動に結びつきやすくなるというわけです。
長文を読ませないことで読み手の負担を減らす
注意喚起を促す方法は、何も文章だけではありません。
たとえ内容的にはそれほど難しくなくても、長文というだけで読み手にとっつきにくさを与えてしまいます。
そんな時は、視覚的に分かりやすく、内容を直感的に理解できる図やイラストを使ってメッセージを伝えることも有効です。
スクロールが必要なほど文章が長くなってしまう場合は、代わりにPowerPointで図やイラスト入りの資料を作成して発信してみてください。
読み手に中途半端な印象を与えないように、あくまでも注意喚起の本文は最小限にとどめ、資料を主役に立てることがポイントです。
PowerPoint「挿入」タブの「図形」と「SmartArt」を使えば、文字で埋め尽くされたドキュメントよりも格段に読みやすい、すなわち読み手に「やさしい」資料を簡単に作成することができます。
資料を画像化し、その場ですぐに読めるよう仕向ける
文章の代わりにPowerPointといった資料を添付する場合は、その発信方法にも気を配りましょう。
情報配信の際は何かと資料をPDF化することが多いと思いますが、仮にPowerPoint資料をPDF化して社内掲示板等に掲載した場合、
・PDFをダウンロード
・ファイルを開く
という2段階の作業が発生し、内容を確認するまでにどうしても手間がかかってしまいます。
これだと、「ファイルをダウンロードしていちいち開くのは面倒だな・・・」と思われて、肝心の中身を読んでもらえないおそれがあります。
中には、ファイルを一旦ダウンロードし、「あとで読もう」と思ってどこかのフォルダに一時保存する人もいるでしょう。こうなると高確率で読み返してもらえません。
そこで、資料をすべて「画像化」し、ファイルを開かなくてもすぐに内容が分かるようにしておきます。
こうすると、内容に自然と目が向き、「ちょっと読んでみようかな」と社員の注意を引き付け、興味深く目を通してもらえる可能性が高くなります。
4.まとめ -社員一人ひとりの意識向上がセキュリティ事故を防ぐ
いかがでしたでしょうか?
今回は社員へセキュリティの注意喚起を促す際のポイントについてご紹介しました。
企業全体でセキュリティ意識を高め、情報漏えい等のセキュリティ事故を未然に防ぐためには、1人でも多くの社員がセキュリティ対策に関する正しい知識を身に付けアップデートし、日常業務の中で自発的に実践していくことが必要不可欠です。
テレワークが浸透し、社員一人ひとりの更なるセキュリティ意識向上の重要性が叫ばれている昨今、いつ誰が起こしてもおかしくないセキュリティインシデントの発生リスクを最小限に抑えるためにも、ぜひ社内における定期的な注意喚起の実施を検討してみてください。
なお、「IT人材が不足していて、セキュリティの注意喚起にまで手が回らない・・・」という企業様向けに、当社では情シス支援サービス「ION」を行っております。
以下リンクより情シス支援サービス「ION」に関する資料を無料でダウンロードすることができますので、興味のある方はぜひチェックしてみてください。
お電話・FAXでのお問い合わせはこちら
03-5828-7501
03-5830-2910
【受付時間】平日 9:00~18:00
フォームでのお問い合わせはこちら
この記事を書いた人
Y.M(マーケティング室)
2020年に株式会社コンピュータマネジメントに新卒入社。
CPサイトのリニューアルに携わりつつ、会社としては初のブログを創設した。
現在は「情シス支援」をテーマに、月3本ペースでブログ更新を継続中。
