現代は、情報の厳重な管理が欠かせない時代ですね。インターネット等の普及により、情報は一度出れば限りなく拡散していく可能性をはらんでいます。そのような現代社会の中で、重大な情報や個人情報が万一漏洩した場合は、どこでどのように悪用されるか分からないという深刻な事態を招いてしまいます。個人情報保護法の成立等も受け、情報漏洩による処分が厳しくなった会社も多いのではないでしょうか。
そこで、情報セキュリティー・リスクマネジメントの大切さを社内に浸透させるために、実際にどのようなことが行われているか、オフィス勤務経験のある男女100人にアンケートをとってみました。
【質問】
あなたの会社で情報セキュリティー・リスクマネジメントの大切さを浸透させるためにしていることはありますか?
【回答数】
情報セキュリティーポリシーなどを公開:7
情報セキュリティ責任者任命:8
ポリシー違反時の罰則規定を制定:7
セキュリティの事故を告知:11
社員研修:44
特にしてない:23
定期的に行う社員研修で、情報の重要性を理解・確認!
アンケートの結果、「社員研修」との回答が最も多く、約4割を占めました。
・仕事が終わった後に少しの時間で良いので毎日研修を行うようになっています。(30代/男性/会社員)
・入社する前に個人情報を扱う仕事なので書類の処理の仕方などは口酸っぱく言われる。(20代/女性/専業主婦主夫)
・定期的に社員研修をした上でテストをし、合格点を取れなかった場合は再テストをして確実に知識がついたことを確認します。(30代/女性/会社員)
・月に一度、リスクマネジメントとして会議室でどのような危険があるか話し合いをして情報の大切さを話し合っています(30代/男性/無職)
・年に1~2回、セキュリティーに関する勉強会などを開催している。(40代/女性/契約派遣社員)
定期的な社員研修により、情報セキュリティに関する知識や意識を常に保ち続ける努力がされているようですね。
毎日の仕事終了後の研修や、定期テストによる知識の確実な習得、話し合いや勉強会で意識を高める等、情報の重要性を把握するための様々な対策が取られていることが分かります。個人情報を含む書類などの処理法も、しっかり理解しておかなければならない重要なポイントと言えるでしょう。
ただ、研修の頻度は毎日から年に1~2回と、会社により大きく異なることも伺えます。
事故の告知、責任者任命、ポリシー掲示や厳しい罰則…多様な対策
アンケートの結果、「セキュリティの事故を告知」、「情報セキュリティ責任者任命」、「情報セキュリティーポリシーなどを公開」・「ポリシー違反時の罰則規定を制定」(同人数4位)という順になりました。
・事故が起きた場合には必ず上司からの報告と社内掲示物にて注意を促しています。(30代/女性/契約派遣社員)
・事故を告知というか、失敗した人はさらしものになります、ツライ。(40代/女性/会社員)
・きちんと責任者を任命しておくことで、情報管理を進めやすくしているからです。(30代/男性/会社員)
・顧客に対して、個人情報の取り扱いについて掲示がしてある。社員にも目が留まるような場所なので、日頃から意識は途切れない。(40代/男性/会社員)
・厳しいルールを作って罰則として減給処分などで脅して徹底させてます。(40代/男性/自営業(個人事業主))
セキュリティの事故の告知は、上司から社員へ正式に報告されることで、その重大さが伝わりますね。事故を起こした当事者にとっては、告知によって周囲の目や評価などが厳しくなり、苦しい立場に立たざるを得ない様子が伺えます。
また、責任者を任命したり、目立つ場所にセキュリティポリシーを掲示することで、情報管理の徹底や円滑化を測ろうという動きも見られますね。さらに、減給処分など厳しい罰則を設け、セキュリティ事故防止を徹底させている会社もあるようです。
徹底した情報セキュリティ・リスクマネジメントは、今や不可欠!
多くの会社が、情報セキュリティ・リスクマネジメントの重要性を把握し、また情報管理に関する理解を社員全体に深めさせるための対策を取っていることが分かりますね。
様々な情報が瞬時に世界中に広がっていく現代社会においては、情報の管理に関する油断やミスは許されない状況になっていることが伺えます。社員研修や事故の告知、責任者任命やセキュリティポリシー掲示、罰則制定など、様々な方法で恒常的な注意喚起を徹底しようとする会社側の努力が見られます。
情報漏洩の重大さと情報管理の重要性を、社員一人一人が充分に理解し、常に意識しながら仕事に臨むことが求められていると言えるでしょう。
調査地域:全国
調査対象:年齢不問・男女
有効回答数:100サンプル
【「情報セキュリティーポリシーなどを公開」と回答した人の声】
・情報セキュリティポリシーやセキュリティの事故についてかかれている冊子を作成して、朝のミーティングのとき読み合わせをしています。(40代/女性/無職)
・基本的に、ここに上っていることはすべてやっています。ただし、親会社から言われてやっているだけですが。(50代/男性/専業主婦主夫)
・情報管理の重要性を強く認識して入るものの、その対応策となると全くの手付かず状態でさす。(50代/男性/無職)
・顧客に対して、個人情報の取り扱いについて掲示がしてある。社員にも目が留まるような場所なので、日頃から意識は途切れない。(40代/男性/会社員)
・年に一度では少ないとは思いますが、社員を集めて情報セキュリティーポリシーについて説明があります。徹底して守りようがないので個人を信じると最後にいつも付け足されます。(40代/女性/無職)
・セキュリティポリシーの周知徹底がなされており、年に数回職場での読み合わせも実施されている。(30代/男性/会社員)
・文書で、情報保護の重要性などを訴えています。そのために、慎重な態度が伝わります。(40代/女性/パートアルバイト)
【「情報セキュリティ責任者任命」と回答した人の声】
・きちんと責任者を任命しておくことで、情報管理を進めやすくしているからです。(30代/男性/会社員)
・情報セキュリティー責任者がおり、トラブルが起こった時は対処してくれる。(30代/女性/パートアルバイト)
・情報セキュリティ責任者を任命しているし、個人で情報セキュリティの勉強できるようEラーニングをしています。(30代/女性/無職)
・やっぱりこういうことが浸透しているんじゃないのかなっていう風に思っちゃいます。(20代/女性/無職)
・情報セキュリティーもひとつの会社の利益のための大きな部署だということを認識するためには責任者任命が一番じゃないかと思う(30代/男性/パートアルバイト)
・責任者だからってその道に精通している人ではないし、何のためか不明。何があったらその人が責任を負わされそう。(40代/女性/専業主婦主夫)
・責任者がいることで、より社員全員の意識を高めることが出来ると思います。(30代/女性/パートアルバイト)
・情報セキュリティ責任者を任命しています。あまり仕事はありませんが。(40代/女性/パートアルバイト)
【「ポリシー違反時の罰則規定を制定」と回答した人の声】
・社則を改定して情報漏えいの罰則を強化する規定が作成されました。社員各自の意識の向上にもなります。(40代/男性/会社員)
・情報漏洩は犯罪だと分かっている人がどれだけいるか?犯罪を侵すという意識を持ってやらないといけないと思う。(30代/男性/会社員)
・厳しいルールを作って罰則として減給処分などで脅して徹底させてます。(40代/男性/自営業(個人事業主))
・コンプライアンス研修を全社員対象に月1回開催し、意識の向上と共有をしている。(30代/女性/自由業・フリーランス)
・違反をしても罰則がない企業が多すぎると思うので、なんとかするべきです。(30代/女性/契約派遣社員)
・出社時の入るための社員証兼カードをなくした場合に罰金のルールがあります。(30代/男性/会社役員)
・入社時に情報管理の誓約書が必要な他、度々、朝礼の場などで上司より指導がある。(30代/女性/専業主婦主夫)
【「セキュリティの事故を告知」と回答した人の声】
・実際に起こったことを紹介することによって、自分達にも起こりうることと思うから。(30代/男性/会社員)
・セキュリティーだけに関わらず、服務事故は回覧出回ります。また、大きいものに関しては阿佐の打ち合わせでいわれるので気が引き締まります。(30代/女性/パートアルバイト)
・人の悪いところや失敗例を知ることで、みんな気を付けようと意識するから。(20代/女性/専業主婦主夫)
・事故が起きた場合には必ず上司からの報告と社内掲示物にて注意を促しています。(30代/女性/契約派遣社員)
・毎月の朝礼時に社員に対してビデオ上映と事故報告を定例化しています。(50代/男性/無職)
・事故を告知することは危機感を感じさせるのには良い方法だと思います。(40代/女性/その他専門職)
・きちんとマニュアル通りにされているかなど月に1回各部署で確認と申し送り、もし間違いがあった場合は報告、改善再教育がなされた。(20代/女性/パートアルバイト)
・小規模な食品商社ですが、外部サイトへのアクセス規制をしております。他社の事故事例を告知、スタッフの意識改革を図っております。(40代/男性/会社員)
・事故を告知というか、失敗した人はさらしものになります、ツライ。(40代/女性/会社員)
・セキュリティに関する事故は社内報となって閲覧できる。が、いかんせん詳細が分かりづらい(30代/男性/自由業・フリーランス)
・セキュリティの事故が生じた場合は、部門会議などで事例を公開しています。(50代/男性/会社員)
【「社員研修」と回答した人の声】
・たまにセキュリティに関する小テストが行われまして、個人情報などについて勉強させられます。(20代/男性/学生)
・自分の会社では、新人教育においてセキュリティ、リスクマネジメントにとても力を入れているからです。(20代/男性/学生)
・テレアポをしていたので個人情報などをかなりの量を扱うので研修の時から徹底的にされている(20代/女性/専業主婦主夫)
・定期的にコンプライアンスや個人情報保護についての研修を受けないといけない。(30代/男性/会社員)
・一番の漏洩リスクは人から。そのため社員の定期的な繰り返し教育は必須。(40代/男性/会社員)
・セキュリティーリスクマネジメントの為の社内研修会等を開催しています。(20代/男性/会社員)
・過去のセキュリティの事故などをあげてリスクを説明しています。(30代/男性/会社員)
・年に2回の個人情報保護研修と情報セキュリティ教育を徹底しています。(40代/男性/会社員)
・毎年1回はセキュリティー研修を社員、派遣社員を問わず行っている。会社独自のビデオも作っている。(60代/男性/契約派遣社員)
・一人でも情報漏えいさせたら大変なので社員研修で社員全員に情報セキュリティー・リスクマネジメントの大切さを浸透させています。(30代/男性/会社員)
・仕事が終わった後に少しの時間で良いので毎日研修を行うようになっています。(30代/男性/会社員)
・定期的な研修により、ポリーシーの共有、責任者の把握、罰則の理解、セキュリティ事故を各自が理解することができる。(50代/男性/契約派遣社員)
・定期的に社員研修をした上でテストをし、合格点を取れなかった場合は再テストをして確実に知識がついたことを確認します。(30代/女性/会社員)
・数年に1回ほど、セキュリティに関する社員研修が回ってきます。(30代/女性/会社員)
・過去の事例を交えたセキュリティ研修が毎年開催されています。また、何かしら事故がおきた場合はアクシデント報告を行うことになっています。(20代/女性/その他専門職)
・年に2回程度、全体ミーティングにて個人情報についての勉強会をしています。(30代/女性/会社員)
・やはり 会社の秘密情報は 社員一人一人の心構えから 研修していかないとダメです。(50代/男性/会社員)
・社員研修ですね。毎月毎月実施してますので、問題はないと思います。(30代/男性/会社員)
・コンプライアンスの研修を全員に定期的に行い、管理徹底している(30代/女性/専業主婦主夫)
・社員研修はまめにしていると思います。漏洩した場合の実害例を示したり、罰則の告知もしています。(40代/女性/パートアルバイト)
・社員に対して研修を行い、実際に社内で発生したセキュリティ事故の内容について報告している。(30代/男性/会社員)
・新入社員時に、セキリティ―やコンプライアンスなどの会社の機密情報に関する講習が行われたため(20代/男性/契約派遣社員)
・社員研修もテキスト配布のテストも実施しています。pマークを取っている会社なので(30代/男性/会社員)
・それは、やはり社員研修を徹底的に行うことです。罰則は、その次です。(40代/男性/自営業(個人事業主))
・かなりの頻度で社員研修をおこない、いかに大事なことかを勉強しています。(30代/女性/会社員)
・3ヶ月に一度、マニュアル読み合わせの研修が行われる。セキュリティ事故が起きた時は、朝礼で告知がある。(40代/女性/パートアルバイト)
・情報セキュリティ・リスクマネジメントの大切さを新党させるためにしていることは社員研修です。定期的に社員研修が開催されています(30代/男性/会社員)
・週一回、朝礼時に、担当の人が情報セキュリティマニュアルを読み上げる。(30代/女性/契約派遣社員)
・月に一度、リスクマネジメントとして会議室でどのような危険があるか話し合いをして情報の大切さを話し合っています(30代/男性/無職)
・定期的に情報セキュリティー・リスクマネジメントに関する社内研修が開催されています。(20代/女性/会社員)
・研修の際に個人情報取り扱いや機密書類のことについて話しています。(40代/女性/パートアルバイト)
・社員全員にWEB上でのセキュリティ教育を行っている。管理者はラーニングコースにログイン後、社員の教育実施有無が確認できる。(40代/男性/パートアルバイト)
・年に一度以上は研修があります。その中で、セキュリティ事故の例などが挙げられる時もあります。研修終了時には、チェックテストがあります。(50代/女性/契約派遣社員)
・年に1~2回、セキュリティーに関する勉強会などを開催している。(40代/女性/契約派遣社員)
・特にはやっておらずです。本当は厳しく規定も作るべきとは思いますが。(70代/男性/無職)
・部署への配属時はもちろんですが、定期的に情報セキュリティに関する研修や認識度チェックのテストが実施されます。(30代/男性/契約派遣社員)
・自分の勤めている会社では入社時や一定時期に研修で確認をしています。(20代/男性/会社員)
・個人一人一人に浸透させるには社員全員が参加する研修で学ぶのが一番良いと思うから。(30代/女性/専業主婦主夫)
・定期的に研修をして認識させるようにはしていますが、それ以外はないです(30代/女性/会社員)
・定期的に研修を行って、研修の後に簡単なテストをしています。テストがあるのでみんな真面目に聞いています。(40代/女性/パートアルバイト)
・e-ラーニング形式で自己学習することにより常にセキュリティ順守の意識づけをしています。(50代/男性/会社員)
・社員への研修を実施し、マニュアル作成しているので知識向上に努めています。(30代/男性/会社員)
・入社する前に個人情報を扱う仕事なので書類の処理の仕方などは口酸っぱく言われる。(20代/女性/専業主婦主夫)
・研修のとき、個人情報の漏えいに関して注意は受けました。医院なので、カルテは超極秘情報ですから。(30代/女性/契約派遣社員)
【「特にしてない」と回答した人の声】
・病院の事務部で働いていると、そういったことはもう言わなくてもわかる、というような状況になります。(20代/女性/無職)
・自営業で主人と2人だけのオフィスなので、情報セキュリティーに関してのリスクについて話すことはあっても特に対策等はしていない。(50代/女性/パートアルバイト)
・上司がそのことに無関係だし、情報セキュリティー、リスクマネジメントの話を聞いたことがない。(10代/女性/学生)
・情報漏洩でトラブルになった経験が無い為、リスクを実感できないのが実情です。(40代/男性/無職)
・するようなものではないし、会社自体がそのような関連ではないので(40代/男性/会社員)
・自分のところは大丈夫だろうと油断があるために、そのような対応はされておりません。(20代/男性/自由業・フリーランス)
・特になにもしていないと思います。たまに、こういうことがあったのでというメールがくるかいかな。(30代/男性/会社員)
・正直、自分でもよく分っていないので何をしたらいいのかわかりません。なので、特になしです。(30代/女性/無職)
・小さい会社なので、あまりセキュリティを強く推す社員がいないので、特に何かをしようとしている人がいない。(40代/女性/専業主婦主夫)
・うちの会社は特に何もしていないので、もっとすべきだと思います。(20代/女性/専業主婦主夫)
・特には行っていないと思う。あるとしたら、文章での通知くらい。(30代/女性/パートアルバイト)
・特に説明を聞いたことはありませんが、各自が情報セキュリティーの大切さを知っています。(20代/女性/契約派遣社員)
・とくにしていません。重要なことは社長の家族しか知りえません。そんなものがあれば(30代/女性/パートアルバイト)
・効果が見えそうなことはあまりしておらず、何か起こってから対策使用という態度です。(20代/女性/学生)
・機密書類や、個人情報の記入された書類をシュレッダーにかける以外は特に何かをしていないと思われる。(30代/女性/自由業・フリーランス)
・中小企業の所為か上司が「機密を守れ守れ」という割には”どうやって守るか”という知識は聞いたことが無い。重要書類でも「しまいこむと不便だから」という理由で出しっぱなしだし。(50代/女性/専業主婦主夫)
・ないです。社員研修くらいはするべきなんじゃないかと思うんですが・・・(40代/女性/会社員)
・経営者が情報セキュリティー・リスクマネジメントの必要性を感じていないため。(30代/女性/自由業・フリーランス)
・今は会社に勤めていないので、会社のことはわからないし、回答できない。(20代/女性/学生)
・医療系は個人のサービスを徹底してるが、情報露営に関してはIT業界に比べてかなり意識が低いから。(30代/男性/会社員)
・特に何もしていないです。でも、何かしたほうがいいのではないかという提案があるのも事実です。(10代/女性/学生)
・特になにもしていないですね。会社の意識の低さにはこまったものです。(40代/女性/パートアルバイト)
・守らなければならないほどの情報はとても少ないので、書類の処分方法などの指示が都度ある程度で特にないです。(50代/男性/士業(弁護士・会計士など))