情報セキュリティ教育の運用工数を大幅に削減。
セキュリオを通して、社内の教育方針に沿った教材でeラーニングを実施。
- 東京ビジネス株式会社
- 情報セキュリティ担当・久米様、小堀様
東京ビジネス株式会社様は、JIS Q 15001(Pマーク)の認証を取得し、お客様からお預かりした大切な個人情報等の管理を徹底しております。その一環で情報セキュリティ教育クラウド『セキュリオ』を積極的に活用されています。
今回は、セキュリティに関する取り組みや具体的なセキュリオの運用方法や成果について、情報セキュリティ担当の久米様、小堀様にお話を伺いました。
東京ビジネス株式会社のサービス概要について
- 本社:東京都墨田区
- 設立:1971年12月
- 従業員数:65名(2023年9月現在)
- Webサイト:https://www.tbp.co.jp
Pマーク取得とともに従業員のリテラシー向上を目指す
セキュリオをご導入されたきっかけを教えてください。
2005年より取得しているPマークの運用と認証維持の効率化を目的として、個人情報に関する教育を従業員に向けて行っていました。
当時、研修で使用する資料の準備から受講者管理まで内製で行っていました。内製で個人情報に関する教育を実施し続けるには、事前の準備や管理など大きな工数がかかっていました。
教育の工数を削減しながら、効果性の高い教育を社内に展開できるよう、教育サービスの選定を行っていた中で、eラーニング教材が豊富なセキュリオの導入を決めました。
Pマークを取得することになった背景は何ですか?
きっかけは、小売業のお取引様の年賀状印刷という大きな仕事を請け負うことが決まったためです。
まずは印刷をおこなう工場や組織の体制を整えなければと思い、Pマークの取得に踏み切りました。既に印刷事業に関してISO 9001 (品質マネジメント)を取得していたため、マネジメントシステムが確立していたことからスムーズに取得することができました。
印刷業をはじめ時代の変化に合わせたサービス展開と、セキュリティ体制の強化を行ってきました
Pマーク取得のきっかけとなった年賀状印刷が事業の柱の1つということですが、東京ビジネス様が取り組まれている仕事内容について詳しく教えてください。
東京ビジネスは、創業から50年以上ビジネスフォーム(連続伝票)を取り扱う印刷会社です。
創業当時は、レーザータイプのプリンターが非常に高価だったので、納品書、請求書、給与明細などの印刷物はビジネスフォームで印刷されることが多い時代でした。レーザープリンターが安価になった今でも、ビジネスフォームをご利用いただいている企業様はいらっしゃいます。
現在はビジネスフォームに限らず、どんな印刷物でも、印刷物以外でも、お客様の「困った」に応えられるサービスの提供に努めています。
先程お話した年賀状印刷は、約30年前から力を入れて取り組んでいる事業の1つです。
商品の性質上、個人情報を取り扱う機会が多く、その管理に関する規定項目も多いために、社内の体制をより一層強化するべきだと感じ、Pマークの認証取得を機に一層管理体制を徹底しながら取り組んでいます。
年賀状印刷では、毎年短期スタッフを数多く募集するのですが、翌年も経験のある人材を雇用することが難しく課題となっておりました。
個人情報も取り扱う仕事であるため、採用してから教育をおこない、実務につくまでのコストが膨大にかかることから、年賀状シーズン以外にも業務を請け負える人材派遣業をはじめました。
様々なサービスを展開する中で、情報セキュリティの取り組みに関してどのように対応されてきましたか?
毎年、従業員に向けて個人情報に関する教育は欠かさず行っています。しかし、教育は行っているものの、実際の業務と関連付けを行っていくことは難しく、その場合にどうしたら完全に防ぐことができるようになるのか、現場の作業方法について見直すことも重要だと考えています。
例えば、印刷作業の工程の中で個人情報に関する内容など目視で確認していることがありますが、人的ミスが発生した場合でも次の工程ではミスを発見し未然に防げるように対策しています。納品までの工程は細かく分けるようにして、工程の見直しについても毎年おこなうようにして改善に努めています。
実際に運用してみての感想・またこれから期待すること
セキュリオの運用について教えてください。
主にeラーニングと法令管理を活用しています。先日、個人情報に関する教材を使用して、eラーニングを実施しました。
また、自社オリジナル教材を作成してセキュリオ上で配信もおこないました。
以前に比べて従業員への電子端末普及率が上がったため、従業員が事務所に戻らずに電子端末を利用して各自好きなタイミングで受講することができるようになりました。セキュリティ担当者側も、セキュリオ教材を利用することで、コンテンツの作成時間やまとまった研修場所や研修時間を確保する必要がなくなったことにより、運用工数を大幅に削減することができました。
情報セキュリティ教育について、今後の取り組みについて考えていることがあれば教えてください。
今後の取り組みとして、標的型攻撃メール訓練を実施するかどうか検討しているところです。
現状の課題として、セキュリティに関する知識を深めることはできていますが、一方で実践的な内容に落とし込むことが難しいと感じている点があります。これらを改善するにあたり、実地型の訓練を通じて従業員の意識を高め、教育を実施することで、より高い効果を得ることができると考えています。
東京ビジネス株式会社様、お忙しい中ありがとうございました。
取材日:2023年9月