情報セキュリティ教育

「内部統制評価基準 勝ち抜く会社の800のポイント」を活用した内部統制の仕組みづくりでは、内部統制に関わる組織経営のプロセスを８つの側面（カテゴリ）に分けて、質問を通じて具体的に仕組みに落とし込んでいきます。

カテゴリ６．情報セキュリティについて見ています。

　情報セキュリティ対策を徹底するには、関係するメンバーへの教育・研修が重要です。

６．（７）情報セキュリティ教育
全職員への定期的教育と、新規採用者への適時教育は適切に行われていますか。

　情報セキュリティに関して、組織や企業で発生する可能性のあるトラブルには、例えば、ウィルス感染やシステムへの不正侵入とそれに伴う情報漏洩などがあります。これらをリスクとして認識し、実際の被害が発生する前に必要な対策を講じておくことが重要です。

　中小企業においても、できることから始める、ということが大切です。

　組織の限られたリソースで最大限の効果を上げるために、様々なリスクから特に重要なものに焦点を当てて、その対策の方針と対応を規則として定めて、それを徹底することが重要です。

　組織として情報セキュリティ対策の方針や行動指針を定めたものを「情報セキュリティポリシー」と言います。

　これを徹底するためには、組織のすべてのメンバーに、この情報セキュリティポリシーに沿った行動が実行されるよう、情報セキュリティ教育を行います。

　情報セキュリティ教育・研修の内容には、自社のセキュリティポリシーや具体的なルールだけでなく、関連する法令についての基礎知識なども含むことが望まれます。

　また、その対象は、自組織のメンバーだけではなく、業務委託先や派遣社員なども対象に教育・研修のプログラムを組みます。
　新規採用者には、導入研修（オリエンテーション等）に情報セキュリティに関する教育内容を含めます。

　情報セキュリティに関するリスクは、日々、新たな状況が発生するため、
新規採用時以外にも定期的（年１回等）に、最新の脅威や自社で発生した事故などを盛り込み定期的に教育・研修を実施することが望まれます。

　また、こうした教育・研修は、受講状況や受講後の認識の確認を実施し、確実に関係するメンバーに周知する仕組みが必要です。
　例えば、重要なセキュリティポリシーについては、読み合わせ行い、教育・研修受講後には受講証明（自署）を行うなどで、徹底するなどの取り組みも見られます。
　セキュリティポリシーをいつでも確認できるように、携帯できるカードに記載（印刷）したものを作成し配布する取り組みもみられます。ただ、カードを配布しただけでは周知徹底はできないので、注意が必要です。

★★

内部統制評価基準改訂版「内部統制評価基準 勝ち抜く会社の800のポイント」については、NPO法人内部統制評価機構のウェブサイトをご覧ください。