おすすめ記事

eラーニング 動画教材は簡単に作れる 学習効果の高い動画を内製する方法

情報セキュリティ対策のカギは教育にあり! eラーニング研修成功事例

株式会社ベネッセコーポレーションの個人情報漏えい事件は記憶に新しいのではないでしょうか。これがきっかけで、情報セキュリティ対策に本腰を入れて取り組むこととなった企業も少なくないと思います。

この事件は、意図的に内部の人間が個人情報を売ったという極めて悪質なものでした。ただ、こうした不正による情報漏えいは、実はあまり多くありません。NPO法人日本ネットワークセキュリティ協会(JNSA)によると、2016年度に起きた不正による情報漏えいは全体の0.6%。99.4%は、不用意や意識の欠如によって情報が漏えいしてしまったという事故になります。

こうした事故の原因の多くは、社員の意識・関心の低さにあると考えます。そしてこうした事故を起こさない、起こりにくくするためには、個人に対して、「楽しさ」と「恐怖」を加味した教育を行うのが効果的であると考えています。

今回は、情報漏えい事故の現状とその原因、対策のポイントについて、事例を交えてお伝えしていきます。


1. 情報セキュリティ対策のカギは教育にあり

まずは情報漏えいの現状と事故の原因、そして、情報セキュリティについて企業がどのような取り組みを行っているのかについて見ていきます。情報セキュリティ対策について企業が何を行うべきか、事故原因と企業の取り組み状況を照らし合わせることで見えた、一つの解答を提示いたします。

1-1. 漏えい事情

個人情報漏えいに限りますが、情報漏えいインシデント1)の件数は減少傾向にあります。これは先ほどお伝えした内容とは矛盾しますが、ベネッセの一件以降、多少なりとも情報セキュリティに関する意識が向上したためと思われます。


JNSA:2015年 情報セキュリティインシデントに関する調査報告書 ~情報漏えい編~より
JNSA:2016年 情報セキュリティインシデントに関する調査報告書 ~情報漏えい編~より
1)インシデント:事件・事故として、業務に支障を与えた事象(情報漏えい、破損、改ざん、不正アクセス、システム停止など)

ただし、全体的には減少傾向だとしても、漏えいした個人情報数(人数)は、2015年から2016年では約3倍の1396万5227人に上っています。これは1件あたりの被害が大きくなっていることを示しているのです。

1-2. 漏えい事故の原因

なぜ、漏えい事故が起こるのでしょうか。その原因は、管理ミスや誤操作といった人為的ミスが大半だと言えます。

JNSA:2016年 情報セキュリティインシデントに関する調査報告書 ~情報漏えい編~より

当社では、人為的ミスの根底にあるのが、社員への教育不足だと考えています。

総務省の「平成29年版情報通信白書」によると、企業における情報通信ネットワークを利用する上での問題点として、32.8%の企業が「従業員のセキュリティ意識が低い」と答えています。しかし、「個人情報を安全に管理・保護するために企業が重視するセキュリティの取組」について見てみると、「従業員に対するセキュリティに係る教育・訓練の実施」に取り組んでいると答えている企業は30%程度で、決して高いとは言えません。事実、2016年度の「企業における情報セキュリティ対策の実施状況」でも、情報セキュリティ教育を実施した企業は50.5%にとどまっています。また、「企業における個人情報保護対策の実施状況」では、87.7%の企業が実施していると答えているにも関わらず、対策実施している企業のうち、社員教育を充実させている企業は46.9%にとどまっているのが現状です。


平成29年版情報通信白書より

この状況では、いつ事故が起こっても不思議ではないと言えるのではないでしょうか。

1-3. 情報セキュリティ教育費

企業は、情報セキュリティ教育のためにどれくらいの費用を使っているでしょうか。

KPMGコンサルティング株式会社(KPMG)による売上500億円以上の国内企業の年間の情報セキュリティ対策費用調査(2017年、対象457社)と、JNSAによる2017年度の国内情報セキュリティ市場規模調査を照らし合わせると、企業がどれくらい情報セキュリティ教育に費用を充てているのかが見えてきます。


KPMG:企業の4割はセキュリティ投資額が年1000万円超より

2017年度 国内情報セキュリティ市場規模

金額(百万円)

統合型アプライアンス

18,910

ネットワーク脅威対策製品

78,931

コンテンツセキュリティ対策製品

212,460

アイデンティティ・アクセス管理製品

94,942

システムセキュリティ管理製品

86,068

暗号化製品

39,304

情報セキュリティコンサルテーション

81,061

セキュアシステム構築サービス

131,159

セキュリティ運用・管理サービス

202,936

情報セキュリティ教育

31,955

情報セキュリティ保険

18,770

合計

996,496

JNSA:国内情報セキュリティ市場2017年度調査報告(速報値)

平均情報セキュリティ
対策費(千円)

調査対象
企業(社)

総額(千円)

5,000

215

1,073,950

20,000

95

1,901,120

40,000

23

914,000

75,000

32

2,399,250

200,000

17

3,381,800

400,000

5

2,010,800

750,000

5

3,770,250

1,250,000

6

7,426,250

合計

398

22,877,420

 

1社あたり

費用(千円)

セキュリティ対策費

57,540

セキュリティ教育費

1,845

2017年度の国内情報セキュリティ市場規模は約1兆円。このうち、情報セキュリティ教育市場は約320億円(3.2%)となっています。この数字から導き出される1社あたりの年間情報セキュリティ教育費は、おおよそ180万円と推定されます。


2. 情報セキュリティ教育

ここでは、多くの企業における情報セキュリティ教育の実態と問題点を確認し、効果的な解決策を探っていきます。企業規模や予算の多少に左右されない、効果の期待できる情報セキュリティ教育とはどういうものか、押えるべき重要なポイントについて見ていきましょう。

2-1. 従来の情報セキュリティ教育

独立行政法人情報処理推進機構(IPA)によると中小企業における2016年度の情報セキュリティ教育の方法は、「関連情報の周知(社内メール・回覧・掲示板など)」が46.9%で半数近くを占めます。メールや回覧が教育と言えるかどうかは別として、これが実態なのです。先に述べた大企業では、さすがにメールだけで済ますようなことはないでしょうが、年間予算が180万円程度では、1人あたり5万円前後する外部セミナーを受講させようとしても、わずか30人程度しか受講できない計算になります。

2-2. これからの情報セキュリティ教育

今ではほぼ一般化されたのでご存知かもしれませんが、これからの情報セキュリティ教育については、eラーニングによる教育が最も効果的、かつ効率的な選択と言えます。規模や提供形態によって大きく前後しますが、当社なら180万円ほどの費用があれば、ある程度の規模で情報セキュリティ教育サービスの提供は可能です。


当社汎用教材「情報セキュリティのエッセンス(サイバー攻撃対策)」より

「集合教育の方が効果的」というお客様やベンダーも数多く存在することも確かで、その効果もeラーニングをしのぐ場合もあります。当社としては、無理にeラーニングを推すつもりはありません。ですが、一人ひとりを数時間拘束し、場所や講師、その他設備やテキストの印刷費用など諸々を考慮すると、果たしてその費用対効果はどうでしょう。ある程度の規模の企業であれば、やはりeラーニングをお薦めいたします。

ただし、eラーニングと言っても、集合教育をビデオ撮影したものを単に映像配信するだけでは、効果は見込めません。「教育した」という事実だけを残してもどうしようもないのです。あくまでも、事故を未然に防ぐことが目的なのですから、真に効果的なものにすべきであろうと考えます。

ここで重要となるのが、「楽しさ」と「恐怖」、つまりアメとムチになります。事例でも紹介しますが、当社のお客様は「楽しさ」と「恐怖」をeラーニングにふんだんに盛り込み、eラーニングの利点を活かして頻繁に教育を実施しています。回数が多いお客様だと月1回の頻度で取り組んでいるところもあります。

2-3. 偽メール訓練

2017年9月、日本航空は取引先の担当者を装った第三者からの偽メールにより、約3億8400万円の詐欺被害を受けました。

また、2018年1月、仮想通貨交換会社コインチェックから、約580億円分の仮想通貨NEMが流出しました。いずれも情報セキュリティ事故として、記憶に新しいですね。


当社では、eラーニングによる情報セキュリティ教育を毎年実施しています。これに合わせて偽メールの訓練も、数年前から日本航空やNEMの事件とほぼ同じ内容で実施しています。ウイルスまがいのプログラムを添付した偽メールを不意打ちで全社員に送るのです。当初は10%程度の従業員がトラップにかかっていましたが、現在ではほぼゼロです。情報セキュリティ責任者としてはうれしい反面、だましている立場としては、用意したトラップにかかってくれないので、ちょっと面白くないところもありますが……。

2-4. ISO27001の取得

従業員への情報セキュリティ意識向上に、ISOの取得もお薦めです。自社の情報セキュリティの定義、関連フローや書類の整備、教育を含めた体系化ができるため、取得できれば、意識向上という面で後の運用は非常に楽になります。何よりお客様からの信頼が格段に上がるでしょう。

当社も、2017年9月20日にISO27001:2013を取得しました。これまでも情報セキュリティ教育は実施してきましたが、よりヒヤリハットなどのささいな事象までISO責任者に報告が上がるようになり、全社的な情報セキュリティ意識が向上したことが見て取れます。

参考)「ISOは経営をダメにする」 萩原 睦幸 幻冬舎 2017年


3. 教育事例

最後に、効果的な情報セキュリティ教育の重要なポイントである、「楽しさ」と「恐怖」をどのように取り入れていけばよいのか、各社の具体的な取り組みを参照していきます。業種・業界は違えど、本質を捉えることで、具体的な活用方法が見えてくるでしょう。

3-1. 大手総合商社A社様

A社様は、情報セキュリティ教育を年4回、情報セキュリティの内容を含んだコンプライアンス教育を年1回、eラーニングで実施しています。

情報セキュリティ教育では、なりすましメールや改正個人情報保護など、毎回最新のトピックスを盛り込み、専門講師による動画を配信しています。テーマによって講師が変わるため、「楽しく」学習を進めることができます。コンプライアンス教育では、自社の事故事例を中心とした教訓学習になっています。社員にとって身近な内容となるため、いつ自身の身に降りかかるか分からず、「恐怖」を感じながら学習を進めています。最後には誓約書ページに「はい」をクリックしないと修了できないようになっていて、さらなる「恐怖」を植え付ける仕掛けになっています。

3-2. 大手証券会社B社様

B社様では、業務や法令関連、情報セキュリティ関連など、毎週違うテーマでeラーニングを実施しています。これらはすべて必須教育になっているため、業務の合間を縫って、必ず修了させなければならない「恐怖」があります。社内で作成した専門講師による動画もeラーニングに組み込んでいますが、中身を見ず、映像を単に流すだけで修了しないよう、動画証跡機能を付けています。動画証跡機能とは、映像の何か所かにチェックタイムを設けておき、そこに映像が達したら、ボタンを押さなければならないというものです。チェックタイムはランダムで出力され、また何か所あるかも受講者には分からないようになっています。ゲーム感覚で「楽しく」受講できる反面、真剣に動画を見ないとボタンをクリックできず、修了できないという「恐怖」があります。

しかし、予定通りに修了できれば修了ポイントが付与され、最終的には給与にも反映されるという「楽しみ」も待っています。

3-3. 大手エンターテインメント会社C社様

数年前に大きな情報セキュリティ事故を起こしたこともあり、情報セキュリティ教育には非常に積極的なC社様。特に法令遵守に重きを置いた内容となっていて、A社様と同様、誓約書に「はい」をクリックしないと修了できないようになっています。

ただし、その他のeラーニングについては、エンターテインメント会社だけあって、楽しく学習できる工夫がたくさん盛り込まれています。

3-4. 大手建設会社D社様

D社様の所属する業界では、これまで多くの不正や事故があったこともあり、コンプライアンス教育や情報セキュリティ教育への取り組みには、とりわけ注力しています。ただ、単に厳しさを追求するだけでは学習しないことも理解されていて、まずはeラーニングに慣れさせるために、ビジネスマナーをゲーム感覚で学習するという取り組みも実施しています。

事例をご紹介したお客様は、いたずらに「恐怖」のプレッシャーをかけているわけではなく、積極的な取り組みを促すための工夫の一つとして「恐怖」を取り入れています。情報セキュリティ教育という日常の業務から少し外れた内容の場合、人は得てして真剣さを失いがちです。「恐怖を取り入れる」ということは、真剣に取り組んでいただくための手段としてとらえていただけるとよいでしょう。

  

この取り組みにより、修了率は大幅に向上しました。


4. まとめ

本稿では、情報漏えいの実態と原因、その解決のカギについて見てきました。それらを踏まえ、情報セキュリティ対策のカギとなる教育について、効果的に行うためのポイントについてもまとめていきます。

  • 個人情報の漏えい事故について、件数自体は減少しているが、1件あたりの被害は大きくなっている。
  • 事故原因の大半が管理ミスや誤操作といった人為的ミスであった。
  • 情報セキュリティ対策についての各社の取り組み状況を見ると、社員への情報セキュリティ教育の不足が見えた。
  • 情報セキュリティ教育に充てられている予算はわずかである。

これらの実態を踏まえると、情報漏えい事故を未然に防ぐためのカギは情報セキュリティ教育であることが見えてきます。そこで、現状を大きく変えることなく実施可能で、効果を期待できる情報セキュリティ教育について提案してきました。ポイントを抑えることで、低予算でも効果的な教育は行えると考えます。

  • eラーニングを活用することで、予算面においても規模への対応においても、最も効果的、かつ効率的な教育が可能である。
  • 情報セキュリティ教育のポイントは「楽しさ」と「恐怖」にある。事例から見ても、eラーニングにこれらの要素を盛り込むことで、効果的な教育が期待できる。

インターネットが飛躍的に拡大した現代において、どこにどんな落とし穴が潜んでいるのかはとても把握しきれません。台帳を金庫にしまって鍵をかけておくというような対応では、致命的な事故を回避できない世の中になっているのです。EU(欧州連合)におけるGDPR(一般データ保護規則)の施行など、個人情報の重要度は増す一方なので、その取り扱いにはますます慎重な対応が求められてきます。

ぜひこの機会に、情報セキュリティ教育について考え、効果的な解決方法を探ってみてはいかがでしょうか。

コンプライアンス教育の基礎を効率的に
学習できるeラーニング

「コンプライアンスシリーズ」

企業の不正発覚や謝罪会見。

日々報道をにぎわしているコンプライアンス問題は、決して他人事ではありません。対策を怠れば、自社の信頼・評判を落としてしまうだけでなく経済的な大損害まで負いかねず、すべての企業にとって重要な課題と言えるのではないでしょうか。

このようなコンプライアンスへの取り組みを自社で実現するために、最も有効な対策の一つが、「社員へのコンプライアンス教育」です。

eラーニング教材「コンプライアンスシリーズ」は、法令の解説を聞くだけでは対応しにくい「現場」の視点を考慮して開発しており、コンプライアンス違反事例や対策なども充実しています。多くの企業にとって重要な分野ごとに具体的に学習することができます。

基礎となる知識を学習することで、コンプライアンス対策も可能になるでしょう。自社に最適なコンプライアンスの実現にぜひお役立てください。

<教材ラインナップ>

【下請法(基礎編)】
【下請法(実務編)】
【著作権法】
【反社会的勢力排除の基礎知識】
【安全保障貿易(輸出)管理(基礎編)】
【製造物責任法(基礎編)】
【契約(基礎編)】
【独占禁止法(基礎編)】
【独占禁止法(カルテル編)】

無料にて教材のプレビューが可能ですので、ぜひご覧になってみてください。

※推奨ブラウザ
通常版:Internet Explorer
マルチデバイス版:Internet Explorer、Microsofr Edge、Google Ghrome、Safari
※OSのバージョンや機種特有の問題により一部の端末では正常に動作しない場合があります。予めご了承ください。

個人情報の取り扱いにつきましては個人情報保護方針をご確認ください