よく「新入社員に向けた情報セキュリティ教育って、どんな内容にすればいいですか」というご質問をいただきます。
たしかに、「情報セキュリティ」という専門的な内容について、どのレベル感でまとめて伝えることべきなのか判断するのは難しいですよね。

そこで今回は、「新入社員向けの情報セキュリティ教育で入れるべきおすすめの内容についてご紹介します。

新入社員の情報セキュリティ教育で入れるべき内容3選

1.　情報資産と情報セキュリティ

この内容は、今回紹介するテーマの中でもマストで含めていただきたいです。
というのも、多くの新入社員にとっては「そもそも情報セキュリティって何？」の状態であり、その状態で様々な対策などの情報を伝えたところで、本質を伝えることはできません。

具体的には、以下のような内容を含めるとよいでしょう。

情報セキュリティって何？

情報の機密性（漏れないこと）、完全性（誤ってないこと）、可用性（利用したいときに利用できること）を確保することです。
そのためには、これらが守られるべき「情報資産」を明確にしておくことが大切です。

情報資産って何？

情報そのものや、情報を収集したり、処理したりするための機械などの中で、組織にとって価値のあるもののことです。
組織にとって価値のがあるかどうかは、先ほど説明した、機密性、完全性、可用性、どれか一つでも確保する必要があるかどうかで考えてみましょう。

これらの詳細については、「情報の『機密性』『完全性』『可用性』って？」「そもそも情報資産ってなんだろう？」などをご参考いただければと思います。

2.　情報セキュリティ事故が起きた場合の被害

「情報セキュリティ」は、一般社員にとってどこか遠く聞こえます。会社に入りたての新入社員にとってはより遠く感じるでしょう。
しかし、情報セキュリティは、情報やツールの取扱いに慣れていない新入社員こそ気をつけるべきものでもあります。
そこで、もし情報セキュリティ事故を起こしてしまった場合の被害などを伝えることで、情報セキュリティを身近に感じてもらいましょう。

具体的には以下のような内容を含めるとよいでしょう。

情報セキュリティ事故の原因は人的ミスが多い

専門的な部分で発生しそうな情報セキュリティ事故ですが、実は「紛失・置き忘れ」や「誤操作」などの人的な理由により発生することが多いです。
自分たちのミスが事故につながる可能性が高いことをしっかり伝えておきましょう。

情報セキュリティ事故が発生した場合の被害

情報セキュリティ事故が起きた場合には、被害や裁判・損害賠償による「金銭的ダメージ」や、事故を起こすような会社という評判から「社会的信頼の失墜」につながるかもしれません。
また、場合によっては事故を起こした個人も裁判にかけられたり、損害賠償を負う可能性もあります。
ここでは、情報漏えいが発生した場合の具体的な被害額、実際に社内で発生した事故事例なども伝えるとよりリアリティをもって受け止められるかもしれません。

ひとつの事故が上記のような被害につながることを伝えましょう。

3.　新入社員でも起こしやすい情報セキュリティ事故と対策

基本的な知識を伝えたら、いくつか具体的な事象と対策を伝えることも大切です。
ただ、担当者の方の中には、「それはわかるんだけど、何を伝えたらいいかわからない」という方も少なからずいるのではないでしょうか。
簡単にお答えすると「新入社員でも起こしやすいレベルのもの」です。
例えば、「開発の本番環境にアクセス…」や「組織の機密情報を編集…」という業務は、一般的には新入社員の方はあまり行わないのではないでしょうか。行わない業務のリスクまで無理に網羅する必要はありません。

具体的なテーマとしては以下のような内容がおすすめです。

• メールの誤送信対策、怪しいメールの見分け方
• スマートフォンの取扱い
• SNSのマナー
• 外で仕事するとき、会話する時のルール
• パスワードの管理　など

まとめ

今回は、新入社員向けの情報セキュリティ教育についてご紹介しました。

情報セキュリティはいまや誰もが持っておくべき基礎知識のひとつです。
新入社員研修の一部としてぜひ含めていただきたいですし、その際には今回の記事などを参考にしていただければと思います。

また、弊社では情報セキュリティ教育クラウド「セキュリオ」のご提供や、コンサルタントによる教育実施のご支援なども行っておりますので、ご興味がございましたらぜひお問合せください。