情報セキュリティ教育、年に1度では不十分!?
みなさんの会社では、どれくらいのペースで従業員教育を実施していますか?
「1年に1度、実施している」という場合が多いのではないかと思います。
なぜそう言えるのか、以下で簡単に解説します。
まず、ISMSやPマークにおいては、PDCAサイクルを1回まわすにあたり、最低でも1回は教育を実施することが求められています(ISMSでは厳密には教育の実施を強制されてはいませんが、それでも大抵の場合は実施します。教育を実施する場合には、Pマーク同様にPDCAサイクルを1回まわすごとに1度教育をおこなう必要があります)。
そして、一般的にPDCAサイクルは年に1度まわすことが多いです。
もし貴社のマネジメントシステムにおいて、「PDCAサイクルは年2回まわす」と定められている場合には、従業員教育は最低年2回実施する必要がありますが、あまりそういった例は多くありません。
上記のような理由から、一般的には「従業員教育は年に1度、PDCAサイクルをまわす中で実施している」という企業が多いと言えます。
ところで、PマークやISMSを維持するためには、最低限年に1度、従業員教育を実施すれば良いということはわかりましたが、実際のところ本当にそれだけで良いのでしょうか?
認証を維持するためだけではなく、より実態に即し、セキュリティレベルを向上させるために教育をおこなうというのであれば、年に1度の定期教育だけではなく、例えば入社研修の実施などは必須と言っても過言ではありません。
情報セキュリティ教育の実施方法が知りたい方は、こちらの記事もあわせてお読みください。
入社研修の実施で、情報セキュリティレベルを担保できる!
入社研修とは、新入社員、中途社員が入社した際におこなう教育です。
例えば定期教育が毎年4月に実施されており、5月に入社してきた社員がいた場合、その社員は11ヶ月先まで従業員教育を受ける機会がないことになります。
自社のセキュリティに関するルールやスタンスを共有するためにも、入社直後に教育を実施することは非常に重要です。
教育内容は、定期教育の際と特段変える必要はありません。しかし、貴社の状況によって、「新入社員向け」や「中途入社向け」など、教育の内容は適宜変更しても良いでしょう。
ただしその場合、Pマークでは教育の内容に含まなければならない事項が決まっていますので、抜け漏れがないようにしましょう(ISMSの場合、特に内容に指定はありません)。
上記のとおりですので、例えば期の途中で入社する従業員がいないという場合には、年1回の定期教育のみでも問題はないと言えます。
組織の状況によって実施頻度の正解は様々
「セキュリオ」を利用されているお客様の中には、「全従業員が毎月1度必ず教育を受けている」という企業様も少なからずいらっしゃいます。
というのも、「セキュリオ」では毎月1つ新しい教材が追加されますので、その教材を全従業員で受けていらっしゃるとのことです。また、「各部署のマネージャーが、それぞれ毎月追加された教材を確認し、自部署の従業員が受けた方が良いと判断した場合には、自部署の従業員へ教育を受けさせている」という企業様もいらっしゃいます。
もちろん、「年に何度も教育を実施するなんて、事務局側も受講者側も余裕がない!」という企業様もいらっしゃると思います。
従業員教育は、教育を実施することが目的ではありません。
教育を通して、従業員がセキュリティに対する意識を向上し、ルールを守っていくためのものです。
従業員の意識を高めることができ、教育に参加することが苦にならないような、自社に合った従業員教育のペースを見つけていただければと思います。
具体的にどのように従業員教育を進めていくのかは、こちらの記事でご紹介しています。
