ISMSの取り組みでは、様々なセキュリティリスクに対応したルールを作成します。出来上がったルールを見ると情報セキュリティレベル・リテラシーをあげるものとして十分に感じることでしょう。事務局としても、取り組みの中でルール構築という一つ大きな山を越えたという想いを抱くかもしれません。

しかし、どれだけ素晴らしいルール・マニュアルが完成しても、従業者の方に認知されていない、ちゃんと把握してもらえていないようでは、意味をなさないものとなってしまいます。

そこで今回は、皆さんが力を入れて作成したルールを価値のあるものにするために、効果的にルールを周知するための方法について考えてみたいと思います。

一般的な周知方法とは?

数多くのISMSのお取り組みを見ていく中で、一般的な周知方法としては以下のような形が挙げられます。

  • ルールブックを印刷して配布
  • ルールブックのデータへ閲覧権限を付与する
  • 社内ポータルサイトなどに記載する

上記のような方法は、最も労力がかからない方法であり、また、ISMSのルールブックに限らずルールや決まり事を周知するといえばこの方法という方も多いのではないでしょうか。
ただし、この方法ではルールブックを実際に見ている・守っているかどうかは各従業者の良心に拠るところが大きく、後々確認すると実はルールを把握していなかったという場面も少なからず見受けられます。

効果的にマニュアルを周知するために

前述したマニュアルの周知方法で共通してあげられることとして、「従業者が受け身である」ということがあります。そこで、従業者が能動的にルールに触れる・ルールを守るための行動を行う方法をいくつか考えてみましょう。

1.ルールブックの読み合わせを行う

この方法は、実際に全社単位やチーム単位などで集まってルールブックの説明や読み合わせを行うというものです。この方法のメリット・デメリットとして以下が挙げられます。

読み合わせは新たなツールの導入や準備が必要ないため最も簡単に従業者にルールを周知できる方法です。一方で、時間調整の難しさやどの程度説明するかといったことを考える必要があるかといった点を考慮する必要があります。

2.オリジナル教材での教育の実施

この方法は、ルールブックを基にしたオリジナル教材を作成して配信・配布を行うというものです。

ルールブックに関する教育の実施は、時間や場所に縛られないことから一定期間内の好きなタイミングで受けてもらうことができます。また、テストを実施することで理解度の把握なども行いやすいです。
一方で、専用に教材を作る必要性や、eラーニングシステムの導入コストや教材の印刷代などがかかる可能性などを考慮する必要があります。

3.セキュリティパトロールの実施

この方法は、定期的にルールの順守度合いを抜き打ちチェックするというものです。
実施の方法としては、実際に担当者が現場の従業者に対して抜き打ちチェックするという方法や、タスク管理ツールやGoogleフォームのようなものを利用してアンケート形式で実施するなどの方法が考えられます。弊社では、自社サービスのSeculioにある社内アンケート機能を利用して毎月ルールの遵守度に関するセルフチェックを実施しています。

セキュリティパトロールでは、チェックされるという緊張感から従業者がルールを守るようになるといったことや、実際の現場の理解度などを測ることができるということが利点に挙げられます。
一方で、担当者に負担がかかる可能性や、リモートワークの場合などには別途、実施方法を検討する必要があるといった点を考慮する必要があります。

まとめ

今回の記事で挙げられたマニュアル周知方法のメリット・デメリットをまとめると以下のような形になります。

メリット デメリット
マニュアル
の配布
  • 最も手間がかからない
  • 周知されているか実態がわからない
読み合わせ
  • 少なくとも従業者がルールブックを知らないという状況は避けられる
  • 効率性の観点などルールに対する現場の声を取り入れることができる
  • 全社もしくはチーム単位などで時間を合わせる必要がある
  • すべてのルールについて説明するには量が膨大になる可能性がある
教育の実施
  • eラーニングなどを使えば、時間や場所に縛られず実施することができる
  • テストなどで理解度の把握ができる
  • 専用の教材を作る必要が発生する
  • eラーニングシステムなどの導入コストがかかる
セキュリティ
パトロール
  • 抜き打ち実施による緊張感から従業者のルール遵守意識が向上する
  • 実際の理解度・遵守度を現場で測ることができる
  • セキュリティパトロール担当者に実施や評価などの負担がかかる
  • リモートワークの場合などに別途実施方法を検討する必要がある

今回検討した方法は作ったマニュアルをどう周知させるかということでしたが、そのほかに、マニュアルを周知してからも、従業員の方からこうしたほうがいいなどの意見をもらうことも、ルールを浸透させる手の一つだと思います。

会社の規模や現在すでに利用しているeラーニングサービスがあるなど、自社の状況に合わせた方法でルールブックの周知を実施いただいて、皆様が作成されたルールが価値あるものになればと思います。
また、弊社で提供しているクラウドサービスSeculioでは、eラーニングを実施していただくことや、社内アンケート機能をセキュリティパトロールのセルフチェック版のような形で活用していただくこともできますので、ISMSの取り組みサポートのひとつとしてご興味があれば、ぜひそちらもご検討いただければと思います。

効果的なルール周知方法とは?

ISMSの取り組みでは、様々なセキュリティリスクに対応したルールを作成します。出来上がったルールを見ると情報セキュリティレベル・リテラシーをあげるものとして十分に感じることでしょう。事務局としても、取り組みの中でルール構築という一つ大きな山を越えたという想いを抱くかもしれません。

しかし、どれだけ素晴らしいルール・マニュアルが完成しても、従業者の方に認知されていない、ちゃんと把握してもらえていないようでは、意味をなさないものとなってしまいます。

そこで今回は、皆さんが力を入れて作成したルールを価値のあるものにするために、効果的にルールを周知するための方法について考えてみたいと思います。

一般的な周知方法とは?

数多くのISMSのお取り組みを見ていく中で、一般的な周知方法としては以下のような形が挙げられます。

  • ルールブックを印刷して配布
  • ルールブックのデータへ閲覧権限を付与する
  • 社内ポータルサイトなどに記載する

上記のような方法は、最も労力がかからない方法であり、また、ISMSのルールブックに限らずルールや決まり事を周知するといえばこの方法という方も多いのではないでしょうか。
ただし、この方法ではルールブックを実際に見ている・守っているかどうかは各従業者の良心に拠るところが大きく、後々確認すると実はルールを把握していなかったという場面も少なからず見受けられます。

効果的にマニュアルを周知するために

前述したマニュアルの周知方法で共通してあげられることとして、「従業者が受け身である」ということがあります。そこで、従業者が能動的にルールに触れる・ルールを守るための行動を行う方法をいくつか考えてみましょう。

1.ルールブックの読み合わせを行う

この方法は、実際に全社単位やチーム単位などで集まってルールブックの説明や読み合わせを行うというものです。この方法のメリット・デメリットとして以下が挙げられます。

読み合わせは新たなツールの導入や準備が必要ないため最も簡単に従業者にルールを周知できる方法です。一方で、時間調整の難しさやどの程度説明するかといったことを考える必要があるかといった点を考慮する必要があります。

2.オリジナル教材での教育の実施

この方法は、ルールブックを基にしたオリジナル教材を作成して配信・配布を行うというものです。

ルールブックに関する教育の実施は、時間や場所に縛られないことから一定期間内の好きなタイミングで受けてもらうことができます。また、テストを実施することで理解度の把握なども行いやすいです。
一方で、専用に教材を作る必要性や、eラーニングシステムの導入コストや教材の印刷代などがかかる可能性などを考慮する必要があります。

3.セキュリティパトロールの実施

この方法は、定期的にルールの順守度合いを抜き打ちチェックするというものです。
実施の方法としては、実際に担当者が現場の従業者に対して抜き打ちチェックするという方法や、タスク管理ツールやGoogleフォームのようなものを利用してアンケート形式で実施するなどの方法が考えられます。弊社では、自社サービスのSeculioにある社内アンケート機能を利用して毎月ルールの遵守度に関するセルフチェックを実施しています。

セキュリティパトロールでは、チェックされるという緊張感から従業者がルールを守るようになるといったことや、実際の現場の理解度などを測ることができるということが利点に挙げられます。
一方で、担当者に負担がかかる可能性や、リモートワークの場合などには別途、実施方法を検討する必要があるといった点を考慮する必要があります。

まとめ

今回の記事で挙げられたマニュアル周知方法のメリット・デメリットをまとめると以下のような形になります。

メリット デメリット
マニュアル
の配布
  • 最も手間がかからない
  • 周知されているか実態がわからない
読み合わせ
  • 少なくとも従業者がルールブックを知らないという状況は避けられる
  • 効率性の観点などルールに対する現場の声を取り入れることができる
  • 全社もしくはチーム単位などで時間を合わせる必要がある
  • すべてのルールについて説明するには量が膨大になる可能性がある
教育の実施
  • eラーニングなどを使えば、時間や場所に縛られず実施することができる
  • テストなどで理解度の把握ができる
  • 専用の教材を作る必要が発生する
  • eラーニングシステムなどの導入コストがかかる
セキュリティ
パトロール
  • 抜き打ち実施による緊張感から従業者のルール遵守意識が向上する
  • 実際の理解度・遵守度を現場で測ることができる
  • セキュリティパトロール担当者に実施や評価などの負担がかかる
  • リモートワークの場合などに別途実施方法を検討する必要がある

今回検討した方法は作ったマニュアルをどう周知させるかということでしたが、そのほかに、マニュアルを周知してからも、従業員の方からこうしたほうがいいなどの意見をもらうことも、ルールを浸透させる手の一つだと思います。

会社の規模や現在すでに利用しているeラーニングサービスがあるなど、自社の状況に合わせた方法でルールブックの周知を実施いただいて、皆様が作成されたルールが価値あるものになればと思います。
また、弊社で提供しているクラウドサービスSeculioでは、eラーニングを実施していただくことや、社内アンケート機能をセキュリティパトロールのセルフチェック版のような形で活用していただくこともできますので、ISMSの取り組みサポートのひとつとしてご興味があれば、ぜひそちらもご検討いただければと思います。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする