新たにテレワーク(リモートワーク)を導入しようとする事業者や、新型コロナウイルスの感染拡大を受けて急いでテレワークを導入したものの、導入について十分な検討をする時間がなかった事業者向けに、テレワークに伴って生じうる人事評価・労務・法務・情報セキュリティに関する問題点を簡単に記載致します。今回は、テレワーク導入にあたって情報セキュリティのギモンであるセキュリティ教育のギモンについて、どのように実施すればいいのかについてご紹介致します。
情報セキュリティ対策の目的を理解してもらう
情報セキュリティに関する取り組みは、従業員にとっては基本的に「面倒なこと」です。面倒で納得できないルールが存在すると、人はいずれそのルールを守らなくなり抜け道を探し出してくるものです。ルールの形骸化を避けるためにも、情報セキュリティ対策の意図や目的を理解してもらうように心がけましょう。その際にはテレワークにおける特殊性に着目して説明することが重要です。
説明すべき内容
教育内容を検討する上ではまず社外における環境の変化に着目し、その上で社内にどのような変化が起こるるかを説明すると効果的です。例えば、新型コロナウイルスによる感染症の流行のように多くの企業が一斉にテレワークを導入した場合、メール等による非対面でのコミュニケーションが一気に増えることになります。そうすると、そのような状況を好機と見たものによって不審なメールが増加することになるかもしれません。例えば、国立感染症研究所は「最近、唐研究所では、COVID-19の注意喚起とともに不審なURLへのリンクが付いたメールが『国立感染症予防センター』という差出人で個人宛メールアドレス宛に送られたとの情報を受けました。」として、「標的型メール攻撃」の一種と思式メールの一例を公開しています。
対策の必要性
次に、それらの社外の状況を踏まえ自社としてどのような対策をとる必要があるかを説明します。具体的には業務における対策と技術面の対策がテレワークを実施する上で必要になることを説明します。
情報セキュリティ教育の留意点
情報セキュリティに関する規程が存在する場合、当該規程を説明することに多くの時間が費やされることがあります。たしかに、従業員が情報セキュリティに関する規程を理解できることを目指して教育を行うことは非常に重要なことです。規定が理解されないと、すぐに情報セキュリティに関する取り組みは形骸化します。
しかし、情報セキュリティに関する規程は多くの内容を含んでおり、教育を受ける従業員にとって直接関係のあるものばかりが記載されているわけではありません。少なくとも教育の初期段階においては、従業員が「自分ごと」として認識できるような形で、従業員に身近なテーマについて具体的な事例を取り上げながら実施することが有効です。「統一基準」でも下記のように各人の理解の重要性に触れています。
2.2.3 教育
目的・趣旨
情報セキュリティ関係規定が適切に整備されているとしても、その内容が職員等に認知されていなければ、当該規程が順守されないことになり、情報セキュリティ水準の向上を望むことはできない。このため、全ての職員等が、情報セキュリティ関係規定への理解を深められるよう、適切に教育を実施することが必要である。
また、ここまで「人」に関する情報セキュリティの重要性を随所で強調してきました。そのこと自体は正しいのですが、当事者の責任感や”モラルのみ”に頼った情報セキュリティ対策はいずれ破綻することもまた事実です。丁寧な説明の下で教育施策を行いながらも、必要に応じて技術的対策を同時に行うことが重要です。
まとめ
上記までにご紹介致しました通り、テレワークを実施については情報セキュリティについて頭を抱える方も多いのではないでしょうか。企業はテレワークの情報セキュリティへの対応が必要となります。テレワークの推進には、就業規則等の制度面だけでなく、従業員のITリテラシー向上も必要です。