企業の情報漏洩など、情報セキュリティ問題がなかなか減らない現状に大きく関係しているのは、やはり従業員の教育です。
情報セキュリティ問題を解決するには、従業員が3つのステップを踏めるよう徹底的に教育しなくてはいけません。
詳しく解説していきましょう。
情報セキュリティ問題解決に向けた教育における3ステップとは?①“知る”
情報セキュリティ問題解決に向けた従業員の教育は、まず情報セキュリティ問題を解決するための対策を従業員に教えることから始まります。
つまり従業員の立場で言うと、情報セキュリティ問題対策を“知る”というのが1つ目のステップなのです。
情報セキュリティ問題解決に向けた教育における3ステップとは?②“できる”
従業員に情報セキュリティ問題対策を教えることができたら、次は具体的に対策の手順、方法を教え、対策が取れているかチェックしましょう。
たとえば対策の手順、方法を教えることで、メールによる標準型攻撃において危険な形式のファイルを選定できるかなどをチェックします。
情報セキュリティ問題の対策を従業員に実行させることで、従業員は情報セキュリティ問題の実行が“できる”という段階に達します。
これが2つ目のステップです。
情報セキュリティ問題解決に向けた教育における3ステップとは?③“実践している”
従業員が情報セキュリティ問題対策を実行できることを確認したら、最後のステップである“実践している”という段階に持っていくよう教育します。
実践しているというのは、つまり従業員が情報セキュリティ問題対策をしっかり理解し、普段の業務に適切に反映させているという状況を意味します。
従業員をこの段階に至るまで教育することで、初めて企業は従業員への教育ができたと言えるのです。
ほとんどの企業は教育の3ステップを徹底できていない
冒頭でも触れましたが、企業の情報漏洩など情報セキュリティ問題は、警戒されているにも関わらずなかなか減少していません。
つまりほとんどの企業が、今回紹介した教育の3ステップを実践できていないのです。
人間は行動に移る際、最終的に“実践する”という意識がなければ行動できない仕組みになっています。
情報セキュリティ問題対策を知っているだけでは意味がなく、知っていてもできなければ意味がなく、できることでも、気持ちが変わらなければ意味がないということです。
“知識”と“意識”を教えるのが企業における教育ですが、意識に重点を置いている企業は意外と少ないです。
なぜかというと、“知識を教えることで意識が変わる”と認識している企業が多いためです。
その考えは間違いであり、知識と意識は別々に従業員に教えなくてはいけないものなのです。
まとめ
今回紹介した情報セキュリティ問題解決に向けた教育の3ステップは、ほとんどの企業が“できる”という段階で止まっています。
ただ1人1人に強い意識を持たせることは決して容易ではないため、なかなか先に進まない企業が多いことも事実です。
従業員の意識を徹底的に変えたい企業は“JAPHICマーク”などの第三者認証マークの取得を目指すことで、効果的に従業員を教育することができるでしょう。
