JAPHICマーク取得企業は、高い情報セキュリティレベルの維持が求められます。
毎年マークを更新しなければいけないからです。
またこちらは企業の上層部だけでは実現できません。
現場の従業員が意識を高く持ち、対策を徹底する必要があります。
今回は、JAPHICマーク取得企業における情報セキュリティ教育の注意点を解説します。
研修形態はさまざまなものを選ぶべき
JAPHICマーク取得企業の情報セキュリティ教育では、さまざまな研修が行われます。
このとき、形態は複数のものを選ぶことが大切です。
なぜならそれぞれ特徴やメリットは異なるからです。
色々と採用しなければ、自社に最適な方法が判断できません。
例えば集合研修は、基本的に定められた時間に受講者が集合して開催されます。
近年はオンラインツールを活用した方法も多く普及されています。
またeラーニングは、従業員が好きな時間に学習を進められるというメリットがあります。
外部の企業からのツールも多く提供されているため、それほど導入は難しくありません。
これらの形態から複数選び、効果を測定した上で適宜改変を行います。
研修は定期的に行うべき
JAPHICマーク取得企業は、情報セキュリティの一環として研修を多用します。
こちらの研修については、定期的に行うことをおすすめします。
単発の研修だけでは、従業員がきちんと内容を理解できない可能性があります。
また研修の期間が空きすぎると、前回学んだ内容を忘れてしまうことも考えられます。
そのため可能であれば毎月研修を開催すべきです。
その他、他社で情報セキュリティ事故が起こったタイミングで開催するのも有効です。
具体的で身近な事例を知れば、従業員も気が引き締まります。
ちなみに新入社員の入社時、部署移動があったときなども研修は行うべきです。
このように従業員の環境が変わると、各従業員の役割や必要な知識も変わってきます。
教育の対象はすべての従業員
JAPHICマーク取得企業における情報セキュリティ教育の対象は全従業員です。
こちらには一般社員のほかパートやアルバイト、派遣社員なども含まれます。
企業の多くには情報セキュリティ担当者が存在します。
またそれとは別に、上層部が情報セキュリティに関する意思決定を行うこともあります。
しかしこれらの人物だけが情報セキュリティの知識を持っていても意味がありません。
特に規模の大きい企業は、その他の従業員の方が圧倒的に数は多いです。
そのため、できる限りすべての従業員に同レベルの教育が行き渡るようにしましょう。
特に教育が必要な従業員を洗い出す方法
従業員は全員が同じ情報セキュリティレベルというわけではありません。
情報セキュリティ教育を行う前の段階でも、ある程度個々の能力に差はあります。
またJAPHICマーク取得企業が特に注意すべきなのは、現時点で能力が低い従業員です。
このような従業員は、悪気なく企業の情報セキュリティレベルを下げています。
そのため、特に徹底した情報セキュリティ教育が必要です。
ちなみに特に教育が必要な従業員を洗い出すには、標的型メール訓練が有効です。
企業側が疑似的な攻撃メールを配信し、クリックした従業員を研修対象とします。
意識が高い従業員であれば、このような怪しいメールを開くことはありません。
一方意識が低い場合、メールも添付ファイルも簡単に開いてしまいます。
こちらの訓練を不定期かつ断続的に行えば、各従業員の意識改革につながります。
まとめ
ここまで、JAPHICマーク取得企業の情報セキュリティ教育の注意点を見てきました。
すべての従業員に対して教育をしなければ、高い効果は得られません。
また教育方法についても、社内研修や外部の取り組みを組み合わせる必要があります。
さらにこれらの対策は、JAPHICマーク取得企業が存続する限り必要なものです。
その時代にあわせて、方法をアップデートしていくことも忘れてはいけません。