「情報セキュリティ教育は,知識を持たせるだけでは不十分。実装できなければ意味がない。『分かる』から『できる』にすることが重要である」---。ジャパネットたかたの常務執行役員CPOである吉田周一氏は12月9日,経済産業省主催の「情報セキュリティガバナンスシンポジウム」において,同社の情報セキュリティに関する取り組みを紹介した(関連記事)。
同社が情報セキュリティ対策に本格的に取り始めた契機は,2004年3月に発覚した個人情報漏洩事件(関連記事)。「それまでは,どちらかというと業務効率の追求に力を入れていた」(吉田氏)。事件発覚後,同社では主力業務であるテレビやラジオの通販を自粛。同社代表取締役の高田明氏がCISO(最高情報セキュリティ責任者)となって対策を開始した。
同社では「各種規定の見直し」や「従業員に対する教育」といった管理面の対策,「監視カメラの増設」や「オフィス・レイアウトの変更」といった物理的な対策,ならびに「情報漏洩防止ソフトの導入」といった技術的な対策を施した。特に力を入れたのが,従業員に対する教育だという。「まずは,『大事な情報を扱っている』という意識と知識を持ってもらうようにした」(吉田氏)。具体的には,e-Learningなどによる教育を実施した後,○×式の「コンプライアンステスト」を義務付けて,進捗状況を確認した。
ただし,「このような教育だけでは,知識として分かっていても,実際に実行できるかどうかは疑問」(吉田氏)として,次のステップではより詳細な教育プログラムを用意した。「選択式ではなく,記述式のテストを2カ月に1回のペースで実施した」(同氏)。記述式テストでは,「こういったことが起きたらどうすればよいのか」といった設問に対して,文章で答えさせる。テストは一般社員だけではなく役職者に対しても実施する。
そして,テスト結果は共有スペース(コラボレーション・エリア)に張り出す。イントラネットの掲示板でも公表するが,「『アナログ』で見せると特に効果がある」(吉田氏)。張り出すことで,点数の悪い従業員の羞恥心や,部門間の競争心に訴えることができたという。その結果,テスト開始時には60%だった不合格率が,数カ月後には7%程度までになったという。不合格者には毎回補講を実施して,なぜそのようにしなければいけないのか,理解を深めてもらうようにした。
規定の見直しなどにより利便性が低下した場合があったので,一部の従業員から不満が寄せられることもあったが,「情報セキュリティは顧客の情報を守るだけではなく,従業員自身の身を守るために,つまり,事故に巻き込まれないようにするために重要であることを強調して理解してもらった」(吉田氏)
