ESET/マルウェア情報局
情報セキュリティー研修は新入社員にどのような影響を与えるのか
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された研修コンサルタントに聞く新入社員向け情報セキュリティ研修のポイントとは?を再編集したものです。
4月に新入社員を迎えた職場では、新入社員向けにさまざまな研修が実施される。学生から社会人に立場が変わることで求められる基礎的なマナーや知識、スキルをはじめ、多くの企業で重視されるコンプライアンスなど、学ばせるべきことは数多くあるだろう。そして、昨今の企業における情報セキュリティへの意識の高まりを受け、研修内容にも盛り込むケースが増えているという。新入社員研修をはじめ、企業・官公庁などに向けて、講師派遣型や公開講座などさまざまなテーマ・形態での研修事業、そのほか人事・総務関連サービス事業を展開している株式会社インソース(以下、インソース社) テキスト開発部 上席クリエイター 金澤 裕也氏、ITサービス事業部 上席チーフ 藤本 智大氏に、研修における情報セキュリティの扱い方について話を聞いた。
コンプライアンス研修を重視する企業が増加傾向
毎年、桜前線の進行が話題になる頃、多くの企業では新入社員向け研修のメニュー立案が大詰めを迎える。研修担当者にとっては、前年度のメニューを踏襲しつつも、ブラッシュアップや、事業再編を受けた大きな見直しもある。特に最近ではコンプライアンス違反が企業の信頼失墜に直結する時代だけに、そうした内容も研修に盛り込まねばならない。情報セキュリティに対する企業の取り組みも世間からシビアに評価される時代になったことで、新入社員に対するセキュリティ教育の重要性も高まっている。以前と比較すると、新入社員研修で網羅すべき内容は多岐にわたっているという。
「私たちが提供する新入社員研修は基本的に、心構えやマナー・仕事の進め方など、新入社員に求められること全般を網羅した総合型パッケージとなります。しかし、事業内容なども異なるため、企業によって重視すべきポイントは変わります。企業の要望を受け、一部内容のカスタマイズや時間配分を調整することもあります。特に最近ではコンプライアンス関連やセキュリティ教育面での要望が目立ち、充当する時間も増加傾向です」と金澤氏は新入社員研修における最近のトレンドを語る。
テレビやウェブのニュースでは毎日のように企業のコンプライアンス違反が報道されている。日本を代表する企業の名前も多く含まれる。ニュースに接する立場としてはもはや聞きなれてしまっているほどだろう。しかし、当事者となった場合、社内は混乱するだけでは済まされない。コンプライアンス違反による直接的な損害だけでなく、企業イメージも大きく損なうことになる。
「最近、話題となっていた『バイトテロ動画』などは代表例といえるでしょう。あくまで正社員ではなく、アルバイトスタッフが起こしたものですが、現場のごく少数の行動が世間に大きなマイナスイメージを与えてしまいました。これはまさにそのアルバイトスタッフに『コンプライアンスの意識』が欠如していたことが原因です。メディアで取り上げられていないものも含めれば、正社員が起こしたケースも多々あるかもしれません。そうした事態を防止するためにも企業は昨今、コンプライアンス研修を重要視するようになっています」と藤本氏はコンプライアンス研修にまつわる事情を解説する。
情報セキュリティ研修の前に「自分事化」を促す
「バイトテロ動画」の炎上は、従業員が動画をソーシャルメディアに投稿したことがきっかけだ。中には「ストーリー機能」というごく短い期間だけ閲覧可能な制限をかけて公開したものも含まれる。投稿者からすれば、少ないフォロワー相手に短い期間だから炎上することはないと考えたのかもしれない。しかし、そうした短絡的な考えがのちに大事態へとつながってしまうのだ。コンプライアンス研修はそうした考えを改めるのに「効く」という。藤本氏が続ける。
「企業の構成員となることで、どのような責任が問われることになるのか。そして、企業にどのような被害がおよぶことになるのか。過去の事例を踏まえて伝えることで、組織の一員という認識を植え付けます。いざとなったら組織に守ってもらえると考える人もいるかもしれませんが、最近では個人が損害賠償を問われるケースも出てきています。
インターネットでの実名検索が当たり前となった現在、そうした不祥事は自分のキャリアを大きく傷つけることになりかねません。情報セキュリティ研修のテキスト内には、従業員個人が損害賠償請求をされた事例も掲載しています。そうして、企業だけでなく自分自身にも大きな影響があることを知ってもらうことで、『自分事化』してもらうのです。その認識がなければ何を教えても意味がありません。それほどここが重要なポイントだと捉えています」
研修で何かを学ばせる場合、受講者が受容する姿勢を持たなければ、意味ある学びにはならない。新入社員へのコンプライアンス研修でもそれは変わらない。インソース社の研修ではその点を重要視し、まず意識変革から取り組んでいる。そのうえで、具体的にどういった対処をするべきか、というインプットに入っていくという。
「情報セキュリティ研修についてはほとんどの場合、コンプライアンス研修の一環としておこなっています。認識が変わったあとに話をするので、当然ながら受講側の姿勢も前向きです。ただ、新入社員はそれまで実務を経験していないことに注意が必要です。研修の内容を知識として記憶できても、咀嚼できていないのです。
そのため、私たちはどう気をつけるべきかという『HOW』を伝える前に、なぜするべきかという『WHY』を前段として話します。そうすることで、実務未経験の新入社員でも頭の中でイメージしやすくなるのです」(藤本氏)
イメージしやすい状態にしたところでインソース社の研修ではチェックリスト(上画像参照)をもとに自分自身の行動を振り返ってもらっているという。それぞれで不足している点を認識できるようにするためだ。そのうえで、具体的な対処策を学んでもらうことで、効率的に最短距離で学習していけるというわけである。
情報セキュリティを踏まえ、「日常」を改められるか
コンプライアンス研修の一環としておこなわれるという情報セキュリティ研修。具体的にはどのようなトピックを扱っているのだろうか。金澤氏が情報セキュリティ研修のメニューについて説明する。
「今の時代、企業ではほとんどの業務と情報セキュリティはワンセットです。『情報資産』という考え方は当然ながら、その取り扱いにおいて気を付けるべきことなども教えていきます。これにはソーシャルメディアでの発言なども含まれます。先のコンプライアンスのところでも触れましたが、昨今の新入社員にとっては発信することが生活の一部、要するに『日常』なのです。社会人という立場になり、その日常をどう改めるべきか。ひとりの個人と社会人という併存する人格を切り替えられるか。このあたりはワークショップでディスカッションをしてもらうことで認識を深めてもらうような取り組みも実践しています」
社会人になると、プライベートと組織の一員という二つの顔を持つことになる。しかし時に、メディアなどでは企業の一員として報じられてしまう。最近は企業の社会的責任を重視する風潮もあり、プライベートでの発言ですらも容赦なく糾弾されかねない。だからこそ、社員となったからには日常を改めることを迫られるのだ。さらに金澤氏は最近の新入社員の特徴を踏まえた研修について話を続ける。
「最近、世間的にも言われることですが、スマートフォンは使い慣れているけどパソコンは不慣れという人が少なくありません。そのため、新入社員研修にOAに関する内容を含めることも増えてきています。そしてその研修ではスマートフォンとパソコンの利用方法の違いについても触れます。
よくあるのが『スマートフォンのほうが上手く操れるのにパソコンを利用しなければならないのか』という疑問です。実務未経験だと、パソコンで利用するソフトウェアも会社側で適切に管理をしているということを認識できていないのです。
会社で利用するソフトウェアはセキュリティ面や共同編集などを前提に精査をされていること、そして未承認のソフトウェアが招くリスクなどを教えることで理解を促します。会社が定めるルールを守ることが結果的に自分自身も安心・安全に働くことにつながります。個人最適と組織最適は異なるということです。決められたルールの背景を伝えることで理解が得られます」
このあたりはシャドーIT問題を考えるうえでも参考になるだろう。企業側で定めたルールには背景が存在するものの、忙しい状況ではそうした背景を伝えず、ルールの順守ばかり求めがちだ。それが意味もわからず強制されているという社員側の被害者意識につながり、ルール徹底が図られないことになる。結局のところ、新入社員、長く在籍する社員を問わず、ルールの背景を丁寧に説明することを企業は怠ってはならないということだろう。
ほかにも、働き方改革に絡んだ多様な働き方がもたらすリスクなどもある。例えば、支給されたスマートフォンで社外からも重要な情報にアクセスできるようになっている企業は増えている。このような利用の場合、紛失・盗難というリスクだけでなく、背後からのぞき見をする「ショルダーハッキング」といった手口も存在する。新入社員だと、自分がどれだけ価値がある情報を取扱っているのかを客観しできていない場合も多い。その意識の緩みがこうした被害をもたらすのだ。藤本氏は「入口(入社)の時にこそ、意識を変えておかないと、どこかのタイミングでインシデントに遭遇しかねない」と警鐘を鳴らす。今後、加速する働き方の多様化に対応するためにも新入社員研修時のコンプライアンス意識変革は重要といえるのだ。
まとめ
「意識が変われば行動が変わる」とよく言われる。今回話を聞いた、新入社員向けの情報セキュリティ研修においても、コンプライアンス意識をどう根付かせるかというところに帰結していたのは重要な示唆といえるだろう。
今回、インソース社の金澤氏、藤本氏から感じたのは、新入社員に一方的に教え込むというのではなく、気づいてもらうというスタンスだ。視点を変えれば、新入社員研修とは学生から社会人へと立場が変わった社員に寄り添い、彼らの意識変革をサポートする期間とも捉えられるのかもしれない。
情報社会ともいえる現在、情報セキュリティはより重要性を増していくことは間違いない。だからこそ新入社員に一方的に押し付けるではなく、教える側の寄り添う姿勢も重要だとはいえないだろうか。