セキュリティ対策は社内の一人が行っても何の意味もありません。確かに重要なデータに触れる割合は人によって異なりますが、何よりも社内全体で意識することが何よりも大切です。

セキュリティ意識がベース

情報セキュリティ対策をしっかりと行なうためには、経営者をはじめ、従業員の意識づけが不可欠です。従業員などのセキュリティに関するリスク意識がなければ、簡単に標的型メール攻撃の犠牲になってしまいますし、重要な情報が保存されている電子媒体や帳票を紛失してしまうためです。

かなり以前の話になりますが、消防設備が完備されているという認院を受けていた旅館で火災が発生し、死傷者が出てしまった事例がありました。この事例では、その火災の前に火災報知器の誤検知が多発していたことから火災報知器の電源を切っていたことが大きな原因でした。情報セキュリティ対策も同様で、例えばパスワードが第三者に知られてしまうような取り扱いをしていたのでは、第三者による不正アクセスを防ぐことはできません。

また、アクセスログを取得し、アクセスログの分析を行なうことになっていても、その分析を実施しなければアクセスログを取得している意味がなくなってしまいます。したがって、経営者や社員、パート、アルバイト、派遣社員を含めて情報や情報システムを取り扱う者全員のセキュリティ意識を高めなければなりません。

網羅性が重要

従業員などの情報セキュリティ意識を高めるためには、網羅性が重要になります。網羅性というのは、情報や情報システムを取り扱う者全員を対象とすることです。網羅性を確保するうえでのポイントは、次のような点にあります。

  • 経営者、部長ほど意識づけが重要

経営者や部長などは、職位が上位のポストにあることから、自分は対象にしなくてよいと考えがちです。また、下位の担当者が経営者や部長に向かって「教育を受けてください」とは言いにくいような文化や風土の企業などもあるかもしれません。しかし、経営者や部長などは、一般社員よりも重要な情報を知り、取り扱っていることから、万が一、外部にその重要な情報が漏れてしまうと大きな問題に発展するため、特にセキュリティ意識をもつことが重要です。

  • パート、アルバイト、派遣社員などの意識づけも忘れない

セキュリティの意識づけは、パート、アルバイト、派遣社員などに対しても適切に行なわなければなりません。正規社員とは異なる勤務形態や、短期間の雇用という理由からセキュリティの意識づけを行なわなくてもよいというように考えてはいけません。以前、ホテルのアルバイトがSNSを使って「著名人が来ている!」といった情報を流したり、食品の不適切な取り扱いをしたりして、経営に深刻な影響を及ぼした事件が発生したことを忘れてはなりません。

  • 外部委託先も重要

外部委託先についても、組織が異なるのでセキュリティの意識づけができないというように考えてはいけません。委託契約を締結する際に、自社のセキュリティポリシーを自社の業務を取り扱う委託先の従業員に対して適切に実施することを定めておく必要があります。また外部委託する場合、どのような情報セキュリティ教育を実施しているのかを事前に評価したうえで委託先として選定することが重要です。なお、委託先に対して、セキュリティ教育などを実施した結果を報告させるように管理するとよいでしょう。