JAPHICマークの取得企業は、年に1回マークの更新を行う必要があります。
また、このときには、引き続き優れた情報セキュリティ体制を確保できているか、審査が行われるため、日頃から従業員教育をしておくことが求められます。
今回は、JAPHICマーク取得企業における従業員教育のポイントについて解説します。
なぜ従業員教育が必要なのか?
JAPHICマークの取得企業が、責任を持って個人データ等を保護していくためには、従業員教育が必要不可欠です。
なぜなら、企業の情報漏えいの多くは、人的な要因が引き金となるからです。
日本ネットワークセキュリティ協会が2017年に行った調査によると、個人情報が漏えいした386件のうち、誤操作が原因のものが97件、紛失や置き忘れが原因のものが84件もありました。
すなわち、誤操作と紛失、置き忘れだけでも、情報漏えい全体の50%近くを占めているということです。
また、これに管理ミスや設定ミスといった原因の数字を足すと、人的要因で漏えいしたケースは全体の60%を上回ります。
従業員教育の対象者は?
JAPHICマーク取得企業における従業員教育の対象者は、社内の情報に触れる機会があるすべての人物です。
自社の従業員はもちろん、業務委託先の従業員、フリーランスといった関係者まで、対象範囲を広げなければいけません。
従業員教育のタイミングは?
従業員教育を行うタイミングとしては、入社時はもちろんのこと、昇進や配属変更時など、情報セキュリティに対する役割や責任、取り扱うデータに変化が生じるタイミングが望ましいです。
また、年初や期首、期末など、区切りの時期に全社的な教育の機会の機会を設けることも考慮すべきです。
従業員教育の実施方法は?
JAPHICマーク取得企業における従業員教育の実施方法は、主に以下の3つから選択することになります。
・eラーニング
・社内講師による集合研修
・外部セミナー
eラーニングの場合、パソコンやタブレットを使用し、オンライン上で口座を受講させます。
対象者を会場に集める必要がなく、ネット環境さえあれば、場所や時間を問わずに行えるのがメリットです。
また、情報セキュリティ担当者など、自社の社員を講師にした集合研修の場合、自社のセキュリティポリシーに合わせたオリジナルの教育内容を構築し、より具体的な運用ルールなどを伝えられます。
その他、外部のセミナーを使用する場合、講師は情報セキュリティのプロフェッショナルであるため、高品質の研修が期待でき、社内のリソースを消費することもありません。
もちろん、集合研修や外部セミナーはコストがかかりやすいため、その点も踏まえて実施方法を決定する必要があります。
従業員教育の効果測定について
JAPHICマーク取得企業が従業員教育を行う際は、あわせて効果測定も実施しましょう。
効果測定は、従業員が教育を受け、情報セキュリティについてどれくらい理解したかを把握するためのものです。
一般的には、以下のような方法で実施されます。
・理解度テスト
・インシデントの発生件数を比較
・インタビュー
理解度テストは、従業員教育の後、以前の講習やセミナーで出た知識を問うテストを実施し、その点数によって理解度を測定するというものです。
また、従業員教育を実施した前と後とで、インシデントの発生数を比較することでも、効果測定が可能ですし、直接従業員にインタビューを行い、質問に対する回答内容をもとに効果を測定する方法もあります。
まとめ
ここまで、JAPHICマーク取得企業における従業員教育のポイントについて解説しましたが、いかがでしたでしょうか?
情報セキュリティの体制は、JAPHICマークの取得時にのみ整備しておけば良いというわけではありません。
個人データ等を取り扱う企業、ましてやJAPHICマーク取得企業である以上は、永久的に従業員教育を行い、高いセキュリティを維持することが大切です。
