• HOME
  • お役立ちコラム

お役立ちコラム

テレワークでは情報セキュリティ対策が必須!メリットから対策例まで

2020年の新型コロナウイルス感染拡大の影響に伴い、テレワークやリモートワークは珍しくない働き方となりました。現時点ではテレワークを導入していないものの、今後導入するかどうか検討中の企業も多いのではないでしょうか。 企業がテレワークを導入する上では、情報セキュリティの対策が欠かせません。自社のトラブル発生を防ぐためにも、セキュリティ対策についてしっかり押さえましょう。 本記事では、テレワークで情報セキュリティ対策が必要な理由を解説します。また、テレワークを導入するメリット・セキュリティ対策の具体例も紹介するので、テレワークの導入を検討中の場合はぜひ最後までご覧ください。 テレワークにおける情報セキュリティ対策の必要性・想定されるリスク テレワークを導入する企業が増えている一方、多くの企業はセキュリティ確保に課題を感じています。総務省の調査では、アンケートに回答した企業の47.6%が「テレワークの導入にあたってセキュリティの確保が課題となった」と回答しました。 【出典】 総務省「テレワークセキュリティに関する2次実態調査」 テレワークを実施する際、セキュリティ対策を怠るとさまざまなリスクが発生します。自社に損失が発生することを防ぐためにも、想定されるリスクについて把握しましょう。代表的なリスクは4つです。 端末の紛失や盗難 テレワークを実施する際は、ノートパソコンを従業員に貸与するケースも多く見られます。自宅で作業をする場合は端末の紛失・盗難といった心配も少ないですが、コワーキングスペースなどで仕事をするときは、端末の紛失・盗難に注意しなければなりません。 端末に顧客の個人情報などが保存されている場合、紛失や盗難が発生すると大きなトラブルにつながります。 情報漏えい 自宅やコワーキングスペースなどで作業をする際、オフィスとは異なるインターネット回線を使用することになります。セキュリティの強度は回線によって異なるので、セキュリティレベルが弱いインターネット回線を使用すると、情報漏えいにつながる危険性があります。 マルウェアへの感染 オフィスに用意されている端末は、基本的にウイルス対策ソフトを導入していることが多いでしょう。しかし、従業員が個人で使用する端末の場合、ウイルス対策ソフトを導入していないことは珍しくありません。その結果、悪意あるウイルスなどのマルウェアに感染するリスクが高まります。 通信傍受や盗聴 カフェなどで公共のWi-Fiを利用する際は、特に注意が必要です。フリーWi-Fiは誰でも利用できる分、通信を傍受される恐れがあります。場合によっては盗聴される可能性もあるので、フリーWi-Fiの利用には細心の注意が必要と言えるでしょう。 目次に戻る 情報セキュリティ対策を実施すればテレワークにはメリットも! テレワークにはセキュリティ面でリスクがあるものの、従業員・企業の両方にメリットもあります。具体的なメリットを以下に挙げます。 通勤時間の削減 従業員にとって、通勤時間はストレスに感じることの1つです。特に、満員電車に乗ることは大きなストレスとなるでしょう。もしテレワークを導入できれば、従業員は通勤する必要がなくなり、空いた時間を有意義に使えます。また、業務効率の改善も期待できるでしょう。 従業員の離職防止 どこでも働ける環境を整備できれば、地方にいる人材を採用できるなど、採用できる人材の幅が広がります。また、子育てや介護といった理由で通勤が難しくなり、従業員が離職するケースもあります。そのような従業員でも、テレワークで働いてもらうことができれば、従業員の離職を防ぐことが可能です。 他にも、オフィススペースや交通費の削減によるコストカットなどがメリットとしてあります。 目次に戻る テレワークにおける情報セキュリティ対策例 テレワークを実施するときは、企業側が対策を施すことが欠かせません。具体的な対策を7つ紹介します。 セキュリティガイドラインの策定 企業として従業員に何を意識してほしいのか、セキュリティガイドラインを策定する方法があります。業務に取り組む上で従業員が意識するべきこと(基本方針)を明文化し、従業員に周知することが重要です。 なお、セキュリティガイドラインは一度策定したら終わりではなく、時代に応じて内容をアップデートしましょう。 セキュリティソフトの導入 ガイドラインによる明文化も効果的である一方、セキュリティ対策の効果が期待できるソフトを導入することも1つの方法です。端末がウイルスに感染すると、企業に大きな損失を招きかねません。最悪の事態を防ぐためにも、業務で使用する端末にはセキュリティソフトを導入しましょう。 パスワード管理の徹底 業務中に入力するパスワードは、推測されにくいパスワードを設定することが大切です。誕生日や名前、連続した数字といったパスワードは推測されやすく、不正アクセスの発生につながる場合があります。そのため、アルファベットや記号を交えた強度の高いパスワード設定がおすすめです。 ペーパーレスの推進 紙の資料は持ち運びがしやすい反面、盗難や紛失のリスクが高いというデメリットもあります。もし外出先で紙の資料を盗難されたり紛失したりすると、取り返しのつかない事態につながることもあるでしょう。紙の資料のデメリットをなくすためには、ペーパーレス化を進めることがポイントです。 個人情報の暗号化 個人情報の取り扱いが多くなる場合は、データそのものを暗号化しておきましょう。クラウドのアプリを利用する企業では、従業員がアプリ越しで個人情報にアクセスすることも考えられます。あらかじめ暗号化しておけば、不正アクセスに備えることもできます。 定期的なOSまたはアプリのアップデート OSやアプリは日々アップデートプログラムが提供されるので、なるべく早い段階でアップデートを実施しましょう。アップデートプログラムは、脆弱性の改善といった内容が含まれていることがあります。アップデートしないままではセキュリティリスクの高い状態が維持されてしまうので、早めの対処が欠かせません。 セキュリティ教育の実施 さまざまなセキュリティ対策がある中でも、セキュリティ対策の必要性を理解してもらうためには、セキュリティ教育の実施がおすすめです。セキュリティ教育のカリキュラムは、セキュリティリテラシーの低い人に合わせた内容に設定することが多いでしょう。情報セキュリティ事故の事例など、時間をかけて従業員に伝えた上で、セキュリティ対策の重要性を認識させ、組織全体のセキュリティリテラシーの底上げを目指しましょう。 目次に戻る まとめ 今回は、テレワークで情報セキュリティ対策が必須の理由に加えて、対策の例も紹介しました。 テレワークではセキュリティ面に関するさまざまなリスクがありますが、メリットも多くあります。多様な働き方を推進し、働きやすい環境を整えるためには、テレワークの導入を検討してみましょう。 社内で情報セキュリティに関する周知をする際は「learningBOX ON」の情報セキュリティ研修コンテンツをご活用ください。learningBOX ONは、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加することができるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することができます。 情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
blog

【成功事例】eラーニングの導入効果8つ、運用のポイントや注意点

人材教育や社員研修をオンライン化できる仕組みとして、企業ではeラーニングの導入が進んでいます。新型コロナウイルスの流行により、対面型の集合研修を行いにくくなり、さらに需要が増しているのが現状です。 そこで今回は、eラーニングの導入によって期待できる効果や注意点、企業の成功事例などを解説します。学習効果を向上させるためのポイントにも触れますので、新しくeラーニングを導入する場合はもちろん、既存システムの活用方法にお悩みの場合もぜひ参考にしてみてください 。 eラーニングの導入効果と注意点 eラーニングは、インターネットを利用したオンラインでの学習形態です。企業では、社員のスキルアップを目的とした学習や、人材育成のための社員研修などに活用されています。こちらでは、eラーニングの導入効果と教育効果を高めるうえでの注意点を解説します。 eラーニングの導入で期待できる効果 <eラーニングの導入で期待できる効果> 管理者 ・ コスト削減が期待できる ・ 学習者の進捗や成績、出席情報を一元管理できる ・ 教材の修正や最新内容へのアップデートが行いやすい ・ 学習者ごとに適切な学習教材を提供しやすい 学習者 ・ 分からない部分を何度でも復習できる ・ 場所や時間の制約が少なくなる ・ 学習の進捗状況や理解度を把握しやすい ・ マルチデバイス対応によって手軽に取り組みやすい eラーニングを導入すると、集合研修と比較して企業側は、会場や講師の準備に必要な費用、コンテンツ制作にかかる手間を大幅に削減できる可能性があります。そのため、対面が必要な従来型の研修にかわって注目が集まっています。 学習者視点では時間や場所、デバイスの制約が少ないため、手軽に取り組みやすくなる効果が期待できるでしょう。学習機会の均等化につながり、研修に対する満足度の向上や積極的な受講による知識の定着が見込めます。勤務時間が不規則な方に向けた研修や、内定者向けの新入社員研修にも活用されています。 eラーニングの導入効果を最大化させるうえでの注意点 <eラーニングの導入効果を最大化させるうえでの注意点と対応策の例> 注意点 対応策の例 学習者のモチベーション管理に苦戦しやすい ・ 成績上位者のランキング表示 ・ 学習進捗度に応じたバッジ・認定証の作成 ・ 動画やアニメーションを活用した教材の用意 ・ スキマ時間を活用しやすい短時間で学習できる教材の作成 学習環境の整備も欠かせない ・ スマホやタブレットなどの端末対応 ・ 資料や動画教材のダウンロードシステムの整備(オフライン視聴) 実技を伴う学習には向いていない ・ 研修内容に応じたeラーニングと集合研修やOJTとの使い分け ・ Webカメラやマイクを活用したライブ配信の実施 導入や制作に一定の知識が求められる ・ eラーニングシステムの提供事業者による導入サポートや代行サービスの活用 ・ 簡単な操作で教材やドリルを作成できるシステムの選択 質疑応答などのやりとりが難しい ・ 匿名で書き込める掲示板の設置 ・ 管理者側からの積極的なフィードバックの実施 ・ アンケート機能の活用 学習者同士のコミュニケーションを図りにくい ・学習者コミュニティの運営 ・ チャット機能や学習履歴の共有機能があるeラーニングシステムの導入 初期費用や月額費用がかかる ・ 無料で利用が可能なeラーニングシステムの選択 ・ お試しプランの活用 自社に合った研修が作れるか ・ 学習目標の明確化 ・ オリジナル教材の作成が可能なeラーニングシステムの導入 eラーニングは集合研修に比べて強制力が弱くなりやすく、学習者の自主性が求められるため、モチベーションの維持に苦戦するケースがあります。また、時間や場所にとらわれずに学べることから、集中力の低下も懸念されます。 主な対応策としては、ゲーミフィケーション要素を取り入れることで、学習を楽しみやすくする手法が効果的です。具体的には、成績上位者のランキング表示や学習状況に応じたバッジ・認定証の作成などが挙げられます。 またeラーニングは指導者と学習者、学習者同士のコミュニケーションの機会を作りにくい側面があります。質疑応答や意見交換が生まれにくいため、集団による相乗効果が期待できなくなる恐れもあります。気軽に質問ができる掲示板や社内SNSを活用し、コミュニケーションが取りやすい環境を用意しておくのがおすすめです。 目次に戻る eラーニングの導入効果を高めるポイント eラーニングを社員教育に活用する場合、どのような点を意識すれば良いのでしょうか。続いては、eラーニングの学習効果を高めるためのポイントをご紹介します。 実践的な研修と組み合わせる 企業研修にeラーニングを取り入れる場合は、eラーニングでインプットした内容をアウトプットできる機会を用意するのが効果的です。例えばビジネスマナー研修の場合、新入社員同士や上司とのロールプレイングやディスカッションを行うことで、学習内容の確認ができ知識の定着に役立ちます。 受講に関するルールや仕組みを整備する eラーニングの効果を最大化するには、学習者の不利益にならないルールや仕組みを整えることも大切です。例えば受講が必須の場合は「就業時間内で実施すること」「22時以降に実施する場合は深夜労働手当を支払う」などのルールを設けると良いでしょう。 受講が任意の場合は「受講しなくても人事評価に影響しないこと」などのルールを用意する必要があります。 学習者の習熟度に応じたフォローアップを行う 多くのeラーニングシステムには、理解度を確認するテスト機能や学習状況の可視化機能などが搭載されています。管理者側はこうした機能を活用し、学習者一人ひとりの習熟度に応じたフィードバックやフォローアップを行うことが重要です。 目次に戻る eラーニングを効果的に運用している成功事例 新型コロナウイルスの影響によって、いつでもどこでも講義を受けられるeラーニングの導入を検討する企業が増えています。そこで最後に、eラーニングの導入に欠かせないLMS(学習管理システム)を利用した成功事例をご紹介します。 株式会社NTTマーケティングアクトProCX 株式会社NTTマーケティングアクトProCXでは、主にスタッフの販売スキルやコンプライアンスの知識を付与する目的でLMS(学習管理システム)の「learningBOX」を導入しました。コンプライアンスや重要な周知事項に関するテストを全スタッフに受講させ、その結果を分析して指導内容の改善に役立てています。 そのほかには、メール設定の機能を活用することで、重要事項を現場へ周知するスピードの向上なども実感されています。 学校法人 北陸学園 学校法人北陸学園では新型コロナウイルスの流行を機に、オンライン授業を行うためのツールとしてLMS(学習管理システム)の「learningBOX」を導入しました。授業後はテストを実施し、問題の正誤だけでなく取り組み時間も含めて分析することで、学生の指導に活用しています。 また、学習面以外では印刷コストの大幅な削減や、お知らせ機能の活用によるスピーディーな情報の共有も実現しており、業務効率化につながっています。 目次に戻る eラーニングの導入効果を理解して自社の運用に活用しよう 今回はeラーニングの導入効果や注意点、実際にeラーニングを導入されている企業の事例を紹介しました。eラーニングは、動画コンテンツを活用した高い学習効果や、時間や場所を選ばずに学習できる手軽さから、企業における人材教育のためのツールとして普及しています。eラーニングの導入効果を確認し注意点を踏まえたうえで、自社の課題に応じて導入してみてはいかがでしょうか。 eラーニングの効果を高めるためのサービスをお探しの場合は「learningBOX」がおすすめです。learningBOXは教材の作成や配布、採点、学習履歴の管理などeラーニングの実施に必要な機能が揃ったeラーニングシステムです。 10アカウントまでなら無期限・無料でほぼすべての機能がご利用いただけるフリープランも用意していますので、ぜひお気軽にお問い合わせください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る

Amazonギフト券が当たる“SaaS比較サイト「BOXIL SaaS」 口コミ投稿キャンペーン”を2月1日より開始!

learningBOX株式会社、スマートキャンプ株式会社(以下、スマートキャンプ)は、スマートキャンプが運営するSaaS比較サイト「BOXIL SaaS(ボクシル サース)」にて口コミ投稿をすると、1件につき3,000円のAmazonギフト券が当たるキャンペーンを、2023年2月1日から2023年4月30日まで実施します! 新規でSaaS導入をお考えのユーザー様にとって、ご利用者様の口コミは最も検討する上で参考となる情報です。弊社サービスをお使いになられたご感想やおすすめしたいポイントなどを、この機会にぜひご投稿ください。 BOXIL SaaS 口コミ投稿キャンペーン実施のお知らせ 実施期間 2023年2月1日(水)~2023年4月30日(日) 応募方法「https://boxil.jp/reputations/lps/learningbox/」にキャンペーンコード「F7E38TXN」を入力の上、口コミを投稿! 発送時期口コミを投稿いただいて約2週間を目安に発送いたします。 ※本キャンペーンは、口コミ審査後公開される先着10名様限定のキャンペーンとなり、上限に達し次第終了となります。 ご投稿いただいた口コミは、SaaS比較サイト「BOXIL」の弊社サービス紹介ページやボクシルマガジンに掲載いたします。サービスページURL:https://boxil.jp/service/7121/記事URL:https://boxil.jp/mag/a238/ スマートキャンプが運営するSaaS比較サイト「BOXIL SaaS」について 「BOXIL SaaS(ボクシル サース)」は、法人向けクラウドサービスを無料で比較し、まとめて資料請求できるSaaS比較情報サイトです。機能、料金、導入事例などの製品情報を網羅しており、複数のサービス比較表が作成可能です。導入推進者による良質な口コミも豊富に揃え、SaaS選定における非効率を無くします。   
サムネイル

有料オプション【デザインカスタマイズ】サービス変更のお知らせ※新規導入をご検討の方向け

平素よりlearningBOXをご利用いただき、誠にありがとうございます。 次回メジャーバージョンアップ(2023年3月中旬予定)より、有料オプションの「デザインカスタマイズ」のサービス内容が変更となります。 詳細について、ご説明させていただきます。 デザインカスタマイズのサービス内容の変更について 変更内容は、下記の3点です。 ①名称が「カスタマイズ」に変更されます。 ②お客様ご自身で「カスタマイズ」の操作が行えます。 お客様ご自身でトップページやサイドメニューをカスタマイズできるように機能が拡充され、デザインの専門知識が無い方でも直観的に操作いただけます。 ③弊社デザインチームに「カスタマイズ」を依頼できます。 弊社での初期設定をご希望の場合、有料にてデザイン依頼を承ります。 カスタマイズの概要について ご利用いただくには、通常ライセンスに加えて下記費用が必要です。 ※「旧:デザインカスタマイズ」から価格の変更はございません。 共用サーバーでのカスタマイズ 初年度費用(年間契約) 220,000円(税込) 次年度費用(年間契約) 66,000円(税込) ご利用条件 スタータープラン、スターターPlusプラン、スタンダードプラン、スタンダードPlusプラン、プレミアムプランをご利用の方 費用に含まれるもの 共用の学習環境サーバー カスタマイズ API連携(※要お問い合わせ) 納期 カスタマイズのみの場合:即日 カスタマイズ+デザイン依頼の場合:約1か月~ ※専用サーバーをご契約いただいた場合は、サーバー料金にカスタマイズの費用が含まれております。       デザイン依頼について 弊社での初期設定をご希望の場合は、有料にてデザイン依頼を承っております。※カスタマイズに追加で、下記費用が必要です。 テンプレートA テンプレートB,C デザイン依頼の費用 110,000円(税込) 220,000円(税込)        テンプレートは3種類ご用意しております。 ・ テンプレートA:トップページにアクセスすると、自動的にログインページに遷移するシンプルなデザインです。 ・ テンプレートB:貴社eラーニングサイトに関する紹介をトップページに表示。商用利用にもおすすめです。 ・ テンプレートC:教育機関や社内研修でご利用いただけるよう、学習者向けに使い方の解説が記載されたデザインです。 ※テンプレートのデザインは下記からご確認ください。 ・テンプレートAのデモを見る ・テンプレートBのデモを見る ・テンプレートCのデモを見る ご利用時の注意点       ・デザインテンプレートは、予告なく更新、変更されます。その際、お客様が編集されたデザインには、自動で更新内容が適用されません。あらかじめご了承ください。       ・お客様ご自身で編集または削除されたデータの復旧は、承っておりません。デザインを編集される際は、必ずバックアップを保存してから編集してください。       ・作成/編集したデザインの不具合を修正される場合は、お客様ご自身で行ってください。 テンプレートを再度選択いただくと、初期設定に戻すことが可能です。なお、編集された内容は破棄されますので、ご注意ください。       ・カスタマイズの範囲や内容によっては、HTML、CSS、JavaScript の基本的な知識が必須です。なお、弊社では記述方法等に関する技術的なサポートは行っておりませんので、ご了承ください。       ・弊社では、バージョンアップに伴うサーバーメンテナンスを原則年に4回実施しております。このバージョンアップに伴うデザイン上の不具合の修正に関しては、弊社では対応いたしかねます。
blog

ウェルビーイングとは?注目される理由と促進する効果、取り組み例

社員が健康で幸福に働くためには、企業側の取り組みが欠かせません。近年では新型コロナウイルス感染症の影響もあり、社員の働き方や企業のあり方が見直されています。そのような中で注目されている考え方が「ウェルビーイング」です。 今回はウェルビーイングとはどのような考えを意味し、なぜ企業に注目されているのかを解説するとともに、ウェルビーイングを促進する取り組みにも触れていきます。人事・総務部門のご担当者様はぜひお役立てください。 ウェルビーイングとは? 初めに、ウェルビーイングという言葉の意味や定義、似ている用語との違いを解説します。また、近年ウェルビーイングが社会で重視されている理由にも触れます。まずは基本から確認してみましょう。 ウェルビーイングの意味と定義 ウェルビーイングは、直訳で「幸福」や「健康」を意味します。厚生労働省によって「個人の権利や自己実現が保障され、身体的、精神的、社会的に良好な状態にあることを意味する概念」と定義されている言葉です。 【出典】 「雇用政策研究会報告書 概要(案)」(厚生労働省) また、世界保健機関(WHO)の設立の際に考案された以下の憲章で、はじめて言及されました。 「Health is a state of complete physical, mental and social well-being and not merely the absence of disease or infirmity.」(健康とは、病気ではないとか、弱っていないということではなく、肉体的にも、精神的にも、そして社会的にも、すべてが満たされた状態にあることをいいます。) 【出典】 「世界保健機関(WHO)憲章とは」(公益社団法人 日本WHO協会) ウェルビーイングは、WHOをはじめとした世界の機関でも重視されており、日本のビジネスシーンに限らずグローバルに注目されている概念です。 ウェルビーイングと健康経営の意味の違い 「健康経営」は、経済産業省によって「従業員等の健康管理を経営的な視点で考え、戦略的に実践すること」と定義されています。 健康経営はウェルビーイングと混同して使われることも少なくありません。両者の違いは、概念であるか、具体的な手法であるかです。ウェルビーイングは概念であり、健康経営は実現するための手法である点が違いだといえます。 ウェルビーイングを追求する経営は「ウェルビーイング経営」と呼ばれます。ウェルビーイング経営と健康経営は、追及する健康の範囲に違いがあります。ウェルビーイング経営とは、社会的な健康を含めた広範囲の健康を追求する経営です。それに対して健康経営は、主に心身の健康を追求する経営とされています。 【出典】 「健康経営」(経済産業省) ウェルビーイングが社会で重要になっている理由 働き方改革の強化 働き方改革の実現には、ウェルビーイングに含まれる社会的な充足が欠かせません。その理由は、働き方改革の目標のひとつに「働く人、一人ひとりがより良い将来の展望を持てるようにすること」があるためです。働き方改革に取り組む企業は、ウェルビーイングの考え方も理解しておくと良いでしょう。 SDGsの推進 SDGs(持続可能な開発目標)とは、2015年に国連サミットで採択された国際目標のことです。このSDGsの目標のひとつに「すべての人に健康と福祉を」という内容が含まれています。日本国内に留まらず、国際目標であるSDGsにおいてもウェルビーイングの向上が求められ、世界的に注目されています。 ダイバーシティの浸透 ダイバーシティには、性別や国籍、性格や価値観、障害の有無や働き方などの要素があります。近年は、多様な価値観やバックグラウンドを持った人が協働する機会が増えています。その理由として挙げられるのは、日本企業の海外進出や、国内の外国人労働者増加などです。多様性を尊重する経営方針や取り組みが重要となっています。 目次に戻る 企業がウェルビーイングに取り組むメリット・効果 企業がウェルビーイングに取り組むと、次のようなメリットや効果が期待できます。ぜひ積極的な取り組みをご検討ください。 社員の充足感が向上しやすくなる ウェルビーイングが向上すると、社員が自分の人生における意義を見出しやすくなります。幸福度が上がり、仕事に対するやりがいを感じられるようになれば、モチベーションを高める効果が期待できるでしょう。社員の主体性が高まり、生産性やパフォーマンスが向上することで、企業の業績に良い影響をもたらす可能性があります。 人材の定着につながる効果を期待できる ウェルビーイングにより社員の心身が安定すると、離職の要因を未然に防ぎやすくなります。ウェルネスな働き方が社内に広まれば、職場における人間関係が円滑になるといった持続的な効果が期待できます。従業員の離職にともなう採用コストや、新人の教育コストなどを抑えられるのは、企業にとってメリットといえるでしょう。 目次に戻る ウェルビーイングを促進するための取り組みの例 自社のウェルビーイングを促進するには、どういった施策に取り組むべきでしょうか。最後に、ウェルビーイングへの取り組み方や、実現へ向けた具体的な施策をご紹介します。 社員のコミュニケーションを促進する 社員同士のコミュニケーションが円滑になると、ウェルビーイングが向上しやすくなります。その理由は、人間関係や仕事の悩みが解消されやすくなるためです。 コミュニケーション促進の具体的な施策には「サンクスカード制度」などが挙げられます。サンクスカード制度とは、社員同士で感謝の言葉を紙やデジタル上のカードに書いて伝え合う制度のことです。個人で手紙を渡したり、代表者がまとめて掲示板に貼ったりする方法を用いることもあります。 研修によって必要な知識の習得を図る 社内にウェルビーイングを周知するには、網羅的な知識のインプットや、実践演習などが含まれる研修を実施するのが有効です。社員がウェルビーイングに関して学びを深める機会を提供できます。 研修内容としては、「ハラスメント研修」や「ダイバーシティ研修」などを実施すると効果が期待できるでしょう。特定のテーマについて学ぶ研修は、学習内容を深掘りしやすい点が長所です。社内でコンテンツを用意するコストを省くために、外部サービスを利用する方法もご検討ください。 労働条件や職場環境を改善する ウェルビーイングへの取り組みでは、社員が働きやすい環境を整えることも重要です。既存の制度を見直して改善したり、新たな制度を取り入れたりすると、柔軟な働き方ができる可能性があります。 例えば、福利厚生の充実化をはかると、満足度の向上が期待できます。食事補助や、託児所・保育所の設置、テレワーク補助金の支給などの取り組みも有効です。 目次に戻る ウェルビーイングで社員が幸せに働ける企業を目指して 世界的に注目される「ウェルビーイング」について解説しました。社員の幸福や健康を考えて、ウェルビーイングの促進に取り組むことで、企業側にもさまざまなメリットや効果がもたらされます。ウェルビーイングについて詳しく知らない社員が多い場合には、研修によって必要な知識の習得をサポートすると良いでしょう。 ウェルビーイングについて周知するならeラーニングシステムの「learningBOX」がおすすめです。learningBOXは、コンテンツの作成・配信や受講者の管理など社内教育に不可欠な機能が備わっているeラーニングシステムです。研修の内容に沿ったコースの設計、社員の習熟度を確認するテストも簡単に実施できます。シンプルな操作性とリーズナブルな価格が好評で、多くの企業の社内研修にも採用いただいています。 10アカウントまでなら無期限・無料でほぼすべての機能がご利用いただけるフリープランも用意していますので、ぜひお気軽にお問い合わせください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
blog

情報セキュリティ教育を計画的に進める5つの方法│目的や必要性は?

現代では、企業の業務に関わる全ての人が何らかの機密情報を扱っており、情報セキュリティ教育の重要性が高まっています。ハードウェアやソフトウェアを整備しても、一人ひとりのセキュリティ意識が低下していれば、外部からの攻撃や人為的ミスによって重大な事故につながり得るためです。 そこで今回は、情報セキュリティ教育の必要性や目的、実施方法について解説します。研修の実施に役立つコンテンツや資料も紹介しますので、ぜひ参考にしてください。 情報セキュリティ教育の基礎知識 サイバー攻撃や情報資産の管理ミスによる情報セキュリティ事故から企業を守るには、セキュリティ意識の強化を目的とした社員教育の実施が重要です。まずは、情報セキュリティ教育の必要性やメリット、目的についてお伝えします。 情報セキュリティ教育の必要性・メリット 従業員に対する情報セキュリティ教育を徹底すれば、情報漏えいを未然に防ぎやすくなります。その理由は、「紛失・置忘れ」「誤操作」「管理ミス」「設定」「盗難」など、ヒューマンエラーによる情報漏えいが全体の6割以上を占めているためです。事故による損害賠償や社会的信用の低下といったリスクの軽減も期待できるでしょう。 【参考】 「2018年情報セキュリティインシデントに関する調査報告書」|日本ネットワークセキュリティ協会 目次に戻る 情報セキュリティ教育の目的・役割 情報セキュリティポリシーを周知徹底する 情報セキュリティポリシーとは、企業や組織における情報セキュリティ対策の方針のことです。主に行動指針や計画・施策、運用体制・規定などを記載します。 組織内の情報セキュリティ意識を向上させるには、従業員全員が策定したポリシーを遵守するための継続的な取り組み・仕組みが必要です。例えば、違反した場合の罰則や組織への被害を示す、理解度をチェックするテストを実施する、個人情報の取り扱いに関するルールを徹底するなどの方法が考えられます。 情報セキュリティの脅威と対策を理解する 情報セキュリティ教育では、整備したポリシーを従業員に遵守してもらうために、実際の事例を伝えることも重要です。例えば、インターネット上の脅威や被害、ウイルス対策や脆弱性対策などの基本的な対策、電子メールやツールの取り扱いにおける心構えなどを解説するのが効果的です。 目次に戻る 情報セキュリティ教育を計画的に進める方法 次は、情報セキュリティ教育の実施方法を手順に沿って解説します。適切なサイクルで情報セキュリティ教育を実施し、自社のリテラシー向上に役立てましょう。 Step1. 教育の目的や学習テーマを設定する 最初に目的を明確化させることで取り組みや効果に一貫性が出やすくなります。社内の情報セキュリティに関する過去の事故や課題を抽出・整理し、目的の設定に役立てましょう。また、社外の事例からは、過去に発生していないが将来起こり得るリスクを想定できます。 情報セキュリティ教育の目的を設定できたら、課題解決に向けて従業員に習得してほしいセキュリティ知識・技能を決定し、それに沿った学習テーマを選定しましょう。学習テーマの例としては、以下のようなものが挙げられます。 情報漏えいのリスク 守秘義務 秘密情報の種類 標的型攻撃メールの脅威と対応策 SNSの利用ルール 情報端末の管理の重要性 クラウドサービスや公衆無線LANの利用におけるセキュリティリスク 最新のサイバー攻撃の手口 パスワード管理 Step2. 教育の対象者を選定する 次に、教育の目的や学習テーマに沿って対象者を選定しましょう。教育内容によっては、部署や役職・役割、オフィスの場所などを参考に対象を決定する場合があります。例えば、営業部の正社員と業務に携わる業務委託先、東京オフィスの正社員などが考えられます。 派遣社員や契約社員、アルバイト・パート、業務委託先など雇用形態を問わず、業務に関わる全ての人を対象者に選定しましょう。 Step3. 教育の実施時期・頻度を決定する 次は、情報セキュリティ教育をスケジュールに組み込むために、実施時期や頻度を決定します。実施時期は新入社員や中途社員の入社時、自社や他社でセキュリティインシデントが発生したとき、社内ルールの変更時などが考えられます。 情報セキュリティに対する従業員の関心が高まっているタイミングで行うのがポイントです。 また、実施の頻度は年に1回、毎月1回、半期・四半期に1回などが挙げられます。内容の重要性や人事異動の頻度などを考慮した上で決定し、定期的に開催しましょう。 Step4. 教育の形態を選定しコンテンツを準備する 次のプロセスでは、情報セキュリティ教育の実施形態を考えます。集合研修やeラーニング、外部セミナーなどが一般的です。教育内容や費用、受講者のリテラシーの程度に応じて適切な方法を選択しましょう。 特におすすめの方法はeラーニングでの実施です。インターネットを活用した学習形態で、学習者はパソコンやタブレットなどでオンライン上のサーバーにアクセスし、必要な講座を受講します。集合研修のように参加者を集める必要がなく、ネット環境さえあれば場所や時間を問わずアクセスできるため、リモートワークを導入している企業でも利用しやすいのが特徴です。 教育の形態が決まったら、コンテンツの準備に取り掛かります。オリジナル教材を作成したり既存コンテンツを購入したりして、求める知識・技能を習得できる教材を用意しましょう。eラーニングの場合は、サービスによっては既存のコンテンツだけでなく、自社で制作した教材を組み合わせて配信することも可能です。 Step5. 教育の効果測定を踏まえたフォローアップを行う 情報セキュリティ教育の実施後は、確認テストやアンケートを通して効果測定を行います。その結果、情報セキュリティの認識に関して問題のある従業員がいた場合は、フィードバックやフォローアップを行いましょう。また、自社で教材を用意しているケースでは、効果測定を踏まえてコンテンツの見直しを行うことも重要です。 目次に戻る 情報セキュリティ教育に活用できるコンテンツ・資料 情報セキュリティ教育を実施する際は、外部のコンテンツや資料を自社に適した形で組み合わせるのが効率的です。こちらでは、情報セキュリティ教育に活用できるコンテンツや資料をご紹介します。 IPA「情報セキュリティ対策支援サイト」 こちらは、経済産業省が管轄するIPA(情報処理推進機構)が一般に公開している資料です。IPAは、国内のIT分野における競争力強化に向けた人材育成などの活動を行っています。 Web会議やテレワーク、長期休暇など目的や場面に応じた具体的なセキュリティ対策が紹介されており、研修資料や配布資料として活用されることもあります。 【参考】 「情報セキュリティ対策/情報処理推進機構」(IPA) 総務省「国民のためのサイバーセキュリティサイト」 総務省のWebサイトでは、企業や組織におけるサイバーセキュリティ対策に関するコンテンツを提供しています。幹部や社員、情報管理担当者など役割別にカリキュラムが分かれており、全社的な情報セキュリティ教育の実施にも活用しやすいのが特徴です。 各コンテンツはすべてPDF版をダウンロードできるため、教育の実施後に資料として配布することで知識の定着に役立てられます。また、一部講座は動画も公開されており、専門家の解説を繰り返し視聴できます。 【参考】 「国民のためのサイバーセキュリティサイト」(総務省) eラーニングサービスlearningBOX ON 「learningBOX ON」は、eラーニング作成・管理システムである「learningBOX」に企業で必須となる研修コンテンツを簡単に追加することができるサービスです。情報セキュリティ教材のコンテンツを無料でお使いいただけ、オリジナル教材と既存コンテンツを組み合わせて配信していただけるのも魅力です。 目次に戻る 情報セキュリティ教育を進めてサイバーリスクに強い企業を実現しよう 今回は、情報セキュリティ教育の目的や実施方法を解説しました。情報セキュリティ事故による企業イメージの低下や損害賠償などのリスクを低減するには、従業員一人ひとりのセキュリティ意識を向上させる必要があります。情報セキュリティ教育を計画的に実施し、サイバーリスクに強い組織を実現しましょう。 社内で情報セキュリティに関する周知をする際はlearningBOX ONの情報セキュリティ研修コンテンツがおすすめです。コンプライアンス研修のコンテンツなども無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
blog

内部不正の対策とは?注目される背景や不正が起こる原因などについても詳しく解説

社内の従業員や委託先企業などによって、個人情報や情報資産が外部に流出してしまう「内部不正」が後を絶ちません。 近年は故意ではない過失も、内部不正として見なされることがあります。「自分は不正なんて絶対しない」と考えている社員であっても、意図せず内部不正に関わってしまうことがあるかもしれません。そのため、企業は内部不正に細心の注意を払い、日ごろから社内でセキュリティに対する意識を高める取り組みを進めましょう。 今回は内部不正が起こる原因に触れながら、具体的な対策ポイントを解説していきます。経営者や企業で人事を担当している方は、ぜひ参考にしてみてください。 内部不正とは? 内部不正とは、組織や企業内部の関係者が社内の機密情報や顧客情報を持ち出し、漏えい、消去、破壊することです。また、誤って情報を流出させてしてしまった場合も内部不正に当たります。 情報セキュリティの不正によって起こる事案(セキュリティインシデント)は、世間に報道されてしまうと企業の信頼を大きく損ねてしまうこともあるでしょう。 SNS等の普及で誰もが簡単に情報に触れられる時代、未然に内部不正を防ぐ方法や効果的な対策が各企業に必要とされています。また情報漏えい事件以外にも、金銭の横領や違法残業、賃金未払いも内部不正に含まれます。 目次に戻る 内部不正の対策が注目される背景 2022年4月より改正個人情報保護法が施行され、従来努力義務であった情報漏えいの報告は企業で義務化されました。 次に、内部不正対策が注目されている具体的な背景を見ていきましょう。 内部不正が脅威であると感じている 社会が内部不正を脅威であると感じていることが、注目される大きな背景です。IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2020」によると、「内部不正による情報漏えい」は組織カテゴリで2位でした。 脅威であるがゆえに、社内で内部不正が発覚しても世間に報道されることを恐れ、公表されていないことも少なくありません。 委託先のセキュリティ対策が不透明 次に業務委託先のセキュリティ対策が不透明であることが挙げられます。委託先の情報管理を怠り業務を丸投げした結果、過去には次のような事例が発生しました。 委託先が別の事業者へ業務を再委託し、マイナンバー情報が流出 案内メールを誤送信し、関連サービスの登録法人のメールアドレスが流出 住民の個人情報の入ったUSBメモリを委託先企業が無断で持ち出し、後日紛失が発覚 情報セキュリティを甘く見る企業や第三者認証を取得していない企業に依頼してしまうと、このような内部不正が起こってしまう可能性があるでしょう。 また海外の委託先は文化や価値観の違いやセキュリティ予算などの関係で、内部不正に関して十分に把握できていないこともあります。データセキュリティソリューション業界大手のVormetric社の「2015 Vormetric insider threat report」では、海外の約89%の割合で企業が内部不正に対して脆弱性があると回答しました。 第三者に業務を依頼することは経営戦略をとる上で有効的ですが、企業はセキュリティ管理(委託先管理)を徹底しなければなりません。 目次に戻る 内部不正の種類 内部不正は情報流出や漏えいに限ったことではありません。次のような事柄についても、内部不正として処罰されることがあります。 業務上横領 業務上横領は、業務上自己の占有する他人の物を横領する行為です。具体的な手段としては次のようなものがあります。 経費の着服 備品の窃盗 不正送金 会社のクレジットカード・マイルの私的利用など 個人による内部不正だけでなく、上層部や外部企業など組織ぐるみで行われることもあります。金銭の横領は額の大小に関わらず、直接的に企業の経済資産に打撃を与える行為と言えるでしょう。 ハラスメント ハラスメントは、相手の意に沿わない言葉や行動によって不快な思いをさせる嫌がらせのことです。具体的には次のようなハラスメントがあります。 パワーハラスメント セクシュアルハラスメント マタニティハラスメント モラルハラスメント アルコールハラスメントなど ハラスメントの加害者は、上下関係や立場の違いといった優位性を利用することが多くみられます。ハラスメントの被害を受けた社員が休職もしくは退職を余儀なくされるなど、人的資源に打撃を与えるのが特徴と言えるでしょう。 労働基準法違反 残業代、賃金の未払いといった労働基準法違反も企業の内部不正です。違反すると社会からの信用を落とすだけでなく、従業員から損害賠償を請求されることもあります。 また労働基準監督官による立入調査と是正報告書提出を拒否した場合、書類送検されるケースもあるでしょう。 目次に戻る 内部不正が起こる3つの要因 さまざまな内部不正について触れましたが、近年特に問題視されているのが情報漏えいに関するものです。テレワークやSNSの普及による影響が大きいと言えるでしょう。 企業の情報漏えいは、次のような3つの要因によって引き起こされます。 ①技術的要因 1つ目が技術的要因です。社内の情報セキュリティが脆弱であればパスワードも漏れることがあります。 本来権限の与えられていない従業員も情報にアクセスできるようになってしまい、内部不正のリスクが高まるでしょう。 また企業によっては、操作ログで履歴が記録されていないこともあります。誰が情報にアクセスしたのか追跡できないシステムを使用している場合は、内部不正が起こってしまっても経路の検出や追跡が困難で、調査に時間がかかってしまうでしょう。 ②人的要因(故意) 2つ目が悪意を持って行われる人的要因です。IPA(情報処理推進機構)の「組織内部者の不正行為によるインシデント調査」によると、内部不正の要因として「不当だと思う解雇処分を受けた」「給与や賞与に不満がある」といった動機・プレッシャー面を挙げています。 不満を持った社員がいる会社では、故意の情報漏えいが起こる傾向にあると言えるでしょう。 ③人的要因(ヒューマンエラー) 3つ目がミスなどによる人的要因です。情報に触れる際の誤操作、ファイルやUSBの紛失などがこれに該当します。 ヒューマンエラーが発生する背景として、当事者の知識や経験が不足している、キャパシティーを超えた業務を請け負っているといったことが考えられるでしょう。 目次に戻る 具体的な情報漏えい対策 企業はどのような対策で内部不正を防ぐことができるのでしょうか。ここでは具体的にさまざまな対策方法について見ていきます。 内部の監視を強化する 企業の情報漏えいを未然に防ぐため、監視を強化しましょう。具体的には次のようなセキュリティ強化があります。 入退室記録の管理 端末の持ち出し記録の管理 セキュリティアラートの送信 アクセスログ管理と監視 不正アクセスの検知など 内部の監視を強化するときは、権限が特定の従業員に偏らないよう相互監視のルールを整え権限を分散させることがポイントです。内部の監視を強化すれば従業員の不正を防げるだけでなく、システム管理者の負担も減らせます。 内部不正のチェックシートを使う 重要情報の管理や運用が正しく行われているか、従業員への教育が適切にできているかなどチェックシートの作成も効果的です。社内での作成が難しい場合は、IPAの「組織における内部不正防止ガイドライン」などで公開されている外部提供のチェックシートをダウンロードしても良いでしょう。 実際にリストアップして確認することで実態調査ができ、自社のセキュリティを強化する必要のある部分が見えてくるでしょう。 従業員の負担を減らす 従業員の負担を減らすことも考えておきましょう。現場が忙しいほど、人手不足から社員の情報セキュリティ教育を実施する余裕がなくなるからです。 セキュリティ教育は年に数回大規模な研修を実施するよりも、短い時間で定期的に受講できる環境が効果的な場合があります。マイクロラーニングやeラーニングなどを導入すれば、隙間時間で無理なく従業員のセキュリティ意識を高めることができるでしょう。 目次に戻る まとめ 今回は内部不正について解説しました。内部不正の対策が喫緊の課題となっている現代、企業は従業員のセキュリティ教育を徹底するなど、策を講じていかなければならないでしょう。 社内で情報セキュリティの意識を向上させる際は、「learningBOX ON」の情報セキュリティ研修のコンテンツをご活用ください。learningBOX ONは、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加することができるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することが可能です。 情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
blog

秘密情報と機密情報の違いは?定義や種類と具体例、類語の意味

企業活動では、自社の顧客や取引先などに関する幅広い情報を取り扱います。業務で使用するデータや書類の中には、秘密情報や機密情報を含むものも少なくありません。機密性の高い情報は、社外へ流出すると重大な事故にもつながりかねないため、取り扱いに注意が必要です。 本記事では、そのような「秘密情報」や「機密情報」について解説します。両者の違いや情報漏えい対策についても解説しますので、ぜひ参考にしてみてください。 秘密情報と機密情報の違い ビジネスシーンでは「秘密情報」と「機密情報」という2つの言葉が同じ意味で使われることがあります。どちらも明確な定義がなく混同されやすい言葉ですが、厳密には意味が異なります。初めに、秘密情報と機密情報の違いを解説します。 秘密情報と機密情報の意味 秘密情報とは、秘密保持契約(NDA)を結ぶ際に秘密保持の対象となる情報のことです。どの情報が秘密情報に該当するかは、契約を結ぶ当事者間で取り決めが行われます。また、秘密情報の範囲は締結した契約書の内容によって異なります。 一方で機密情報とは、企業や国の機関にとって重大な情報全般のことです。なかでも企業における機密情報は「企業秘密」や「企業内秘密」とも呼ばれ、取り扱いに注意が必要です。秘密情報と同様に、外部への流出を避けなければなりません。 秘密情報・機密情報の種類と具体例 秘密情報と機密情報は意味が異なるものの、対象となり得る情報は同じです。 対象となり得る情報は、「経営情報」「財務・経理情報」「研究開発・技術情報」「人事情報」「マーケティング・広報情報」の5種類に大別できます。 <秘密情報・機密情報の種類と具体例> 情報の種類  該当する情報の具体例 経営情報  事業計画、在庫情報、M&A情報など 財務・経理情報  予算・売上情報、融資情報、合弁計画など 研究開発・技術情報  設計図、研究報告書、プロジェクト仕様書など 人事情報  給与情報、昇進情報、異動情報など マーケティング・広報情報  販売履歴、販促情報、顧客情報、取引先情報など    代表例として、顧客や従業員に関する個人情報は秘密情報や機密情報に含まれると考えられます。一般的に個人情報に該当するのは、氏名・年齢・住所・性別といったデータのほか、本人の購入履歴やサイトの閲覧履歴などのデータです。 秘密情報・機密情報と似た意味を持つ類語 秘密情報・機密情報と営業秘密の違い 秘密情報と機密情報には明確な定義が存在しないのに対して、「営業秘密」は法律上で定義されています。説明が記載されているのは、不正競争防止法の2条第6項です。 この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。 【出典】 「不正競争防止法(平成五年法律第四十七号)」e-Gov法令検索 不正競争防止法で定義された営業秘密には、3つの要件があります。1つ目は、“秘密として管理されている”の部分に該当する「秘密管理性」。2つ目は、“有用な営業上又は技術上の情報である”の部分に該当する「有用性」。3つ目は、“公然と知られていない”の部分に該当する「非公知性」です。 ただし、脱税などの反社会的な活動についての情報、特許として公開された情報、刊行物などに記載された情報は、営業秘密には該当しません。 【参考】 「秘密情報の保護ハンドブック ~企業価値向上に向けて~」(経済産業省) 秘密情報・機密情報と社外秘情報の違い 社外秘情報とは、社外への流出によって損失が生じる可能性のある機密情報です。社内の人とは情報を共有できますが、取引先や消費者など外部の人には共有できません。具体例として、議事録や就業規則といった機密文書が挙げられます。 機密情報には重要度に応じてレベルがあり、機密性の高い順に「極秘」「秘」「社外秘」と分類されます。「極秘」や「秘」に該当する特定の情報は、社外秘よりも流出による損失が大きいと考えられており、社内でも限定された一部の人しかアクセスできません。 社外秘情報は秘密情報とは異なり、秘密保持契約を締結しません。また、社外秘情報は社内で共有できますが、機密情報は重要度次第では社内でも共有できない場合があります。 秘密情報・機密情報と機微情報の違い 機微情報は「センシティブ情報」とも呼ばれ、個人情報の中でも慎重な取り扱いが求められるものを指します。情報の流出によって、個人が差別などの社会的なリスクにさらされたり、精神的なダメージを受けたりする恐れがあります。 機微情報の具体例として挙げられるのは、個人の政治的な見解に関する情報、信仰する宗教に関する情報、人種や民族に関する情報、出生地や本籍地に関する情報などです。情報の取り扱いに注意し、個人のプライバシーを守る必要があります。 機微情報は秘密情報とは異なり、秘密保持契約を締結しません。また、機密情報は企業や国の機関などの情報が対象となるのに対して、機微情報は個人の情報が対象となります。 目次に戻る 秘密情報・機密情報を漏えいするリスク 秘密情報・機密情報が流出してしまったら、企業にはどのような危険が及ぶのでしょうか。情報漏えい事故がもたらすリスクについて解説します。 社会からの信用や信頼を失う恐れがある 情報漏えいの発覚・拡散は、顧客や取引先、社会からの信用を下げかねない大きな問題です。違反や事故をきっかけに、第三者のSNSでの発言などで情報の歪曲やデマが生まれれば、自社が風評被害を受ける懸念もあります。こうして社会からの信用や信頼を失えば、企業存続に関わる重大な危機にもなり得るでしょう。 損害賠償を請求される場合がある 万が一、自社の情報漏えい事故で被害者に何らかの損失が発生してしまったら、損害賠償を請求される場合があります。国内でも、過去に大規模な個人情報漏えい事故が発生し、企業が顧客へ損害賠償を行った事例が存在します。 機密性の高い情報ほど、漏えいによる被害が深刻になる可能性があるため、注意が必要です。 目次に戻る 秘密情報・機密情報の漏えいを予防する方法 情報漏えい事故を予防するには、日頃から社内ルールを厳守し、セキュアなIT環境を保つことが大切です。最後に、秘密情報・機密情報の漏えいを防ぐポイントをお伝えします。 記録媒体の持ち込みと持ち出しを制限・防止する 社内では、秘密情報・機密情報を保存できる媒体の持ち込みおよび使用を、原則禁止としましょう。例えば、USBメモリや外付けハードディスクを使ったデータの持ち運びには、紛失や盗難のリスクが伴います。同様に、従業員が個人的に保有する媒体を業務で使うのも好ましくありません。 また、社用パソコンの持ち出しや利用場所に制限するルールを規定し、明示することも大切です。持ち出しの際は事前申請を従業員に義務付けるなど、情報資産を安全に保つために新たな管理方法を導入しても良いでしょう。 テレワークの普及によって、こうしたルールをより厳格に取り決める必要性が高まっています。 セキュリティソフトを導入・更新する 社用パソコンなどの端末にはセキュリティソフトを導入し、ウイルスや不正アクセスによる被害から自社のIT機器やネットワークを守りましょう。すでにセキュリティソフトがダウンロードされた端末も、定期的な更新に対応する必要があります。 アップデートでソフトを最新の状態に保ち、新たなサイバー犯罪の手口に備えましょう。 従業員の情報セキュリティ意識を向上させる 自社の秘密情報・機密情報を安全に保管するには、一人ひとりが情報セキュリティの基礎知識を把握し、社内の情報を適切に取り扱うことが重要です。情報セキュリティの体系的な学習には、研修の実施もご検討ください。 その際は、学習管理の機能も兼ね備えたeラーニングシステムを活用するなど、従業員の習熟度チェックもできるようにしましょう。 目次に戻る 秘密情報・機密情報の違いを押さえて双方に対策を 企業が取り扱う秘密情報と機密情報の違いについて解説しました。秘密情報と機密情報には異なる意味合いがありますが、対象とする情報の種類は共通しています。お伝えした注意点をもとに、社内のセキュリティ対策を強化し、安全な運用を目指しましょう。 社内で情報セキュリティに関する周知をする際は「learningBOX ON」の情報セキュリティ研修コンテンツをご活用ください。learningBOX ONは、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加することができるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することができます。 情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
blog

企業が行うセキュリティ対策とは?方法やポイントを紹介

情報システムやインターネットを使ったデータ管理は今や企業にとって欠かせない手段です。その利便性に疑いの余地はありませんが、そこにはもうひとつの側面があることを改めて意識しましょう。 インターネットを使ったデータ管理は世界中とつながるため、常に外部から攻撃を受ける可能性があります。不正アクセスによる情報漏えいは企業のブランドイメージを失墜させ大きなダメージを与えるため、堅牢(けんろう)なセキュリティ対策は企業にとって大きな課題です。 今回は企業が行うセキュリティ対策の方法やポイントをご紹介します。今一度、あなたの会社のセキュリティ対策を確認しましょう。 セキュリティ対策とは そもそもセキュリティ対策とは、インターネットやコンピュータを安全に使うための対策のことで「情報セキュリティ」とも呼ばれます。IT化が進んだ現代では、企業や組織は重要な営業機密や、顧客・社員の個人情報など、多くの情報をシステム上で保管しています。 これらの情報が漏えいしたり、データが破損したりすると企業は社会的に大きなダメージを受け、場合によっては業績の低下や倒産の可能性すらあります。企業は情報資源を守るために、さまざまなセキュリティ対策を行うのです。 目次に戻る 情報セキュリティの3要素 情報漏えいやデータ破損を防ぐための対策である情報セキュリティは、「機密性(confidentiality)」、「完全性(integrity)」、「可用性(availability)」という3つの要素から構成されています。情報セキュリティはこれらの要素の頭文字を取って「CIA」と呼ばれることもあります。それぞれの要素をもう少し詳しく確認しましょう。 機密性:認められた人だけが情報にアクセスできること完全性:情報が正確であり改ざんや過不足がないこと可用性:必要なときに必要な情報に目的を果たすまでアクセスできること 重要な情報を取り扱う際にはこの3要素をしっかり意識することが大切です。 目次に戻る 情報セキュリティとサイバーセキュリティの違い セキュリティ対策には情報セキュリティの他にもサイバーセキュリティと呼ばれるものがあります。サイバーセキュリティとは情報セキュリティを脅かすものに対しての対処方法です。情報セキュリティが情報の取り扱い方に観点を置いているのに対し、サイバーセキュリティはいわゆるサイバー攻撃などへの対策などに焦点が当てられています。 この2つは全く異なるものではなく、情報セキュリティの中にサイバーセキュリティの概念があるイメージです。 では、実際にどのような事例が情報セキュリティを脅かすのか、次でしっかり確認しましょう。 目次に戻る 具体的なセキュリティ被害の事例を紹介 実際のセキュリティ被害の事例を4つご紹介します。 具体例①マルウェア感染 マルウェアとは、ユーザーのデバイスに不利益をもたらすプログラムやソフトウェアの総称です。ランサムウェアやトロイの木馬などもマルウェアの一種です。マルウェアに感染すると、重要な情報が外部流出したりデータが破壊・書き換えされたり、消失したりします。 具体例②情報漏えい、盗難 情報漏えいはマルウェア感染だけでなく、テレワークなどの業務環境の変化により意図せず起こるものもあります。また、機密情報の入ったパソコンやデータを社員個人が持ち出し、盗難に遭うなどのケースもあります。 具体例③不正アクセス 不正アクセスされると機密情報の流出やサービスの停止、Webサイトの改ざんなどの被害を受ける可能性があります。 具体例④災害などによる機器障害 台風や地震、落雷などの自然災害が発生し、サーバーや電気が使えなくなり、情報システムが停止してしまうことがあります。 目次に戻る 企業が行うセキュリティ対策方法 では、実際に企業が行うセキュリティ対策にはどのようなものがあるのでしょうか。それぞれ具体的な事例への対策を確認しましょう。 対策①マルウェア感染への対策 マルウェア感染を防ぐにはセキュリティソフトの活用が有効です。ただインストールするだけで安心せず、定期的に更新し最新版にアップデートするようにしてください。 マルウェアは常に新たなものが作成され、より巧妙化していくため、古いウィルス定義ファイルのままでは危険です。 対策②情報漏えい、盗難への対策 セキュリティソフトの活用とともに、研修などで社員のセキュリティへの意識を高めることが大切です。書類やPCなどの持ち出しに対しルールを設定し、社員の情報の取り扱いに一定の制限を設けます。 対策③不正アクセスへの対策 不正アクセスの原因はシステムの脆弱性です。不正アクセスを防ぐため、アカウントの適切な管理や、暗号化技術の導入を行いましょう。また、不正アクセスを遮断するファイアーウォールの導入も有効な手段です。 対策④災害などによる機器障害への対策 自然災害は予期できるものではありません。日頃から小まめなバックアップや予備システムの配備などの対策が必要です。 データのバックアップは別の場所で保管します。また、重要書類は災害から保護するため金庫などに保管します。 目次に戻る 中小企業がまず取り組むべき情報セキュリティ対策とは 情報セキュリティ対策は大企業だけのものではありません。中小企業もしっかりとしたセキュリティ対策が求められます。しかし、大企業のようにさまざまな情報セキュリティ対策を行うことは、予算・人材が不足しがちな中小企業では現実的ではありません。 では、どこから対策を始めれば良いのでしょうか。限られた予算でも実施可能な、優先度の高いものを以下に3点紹介します。 ①パソコンのセキュリティを強化する OSなどのソフトウェアはこまめにアップデートし、最新の状態を保ちましょう。またセキュリティソフトの導入をおすすめします。法人向けのセキュリティソフトであれば、社内の端末の一括管理ができます。 業務に関係のないWebサイトの閲覧を制限したり、外部ストレージとの接続を制限したりと、社内のPCのセキュリティ性を高めることができるためおすすめです。 ②従業員への教育の徹底 セキュリティ対策はすべての社員が守らなければ意味がありません。情報セキュリティを実現させるには、社員一人ひとりの意識向上が不可欠です。社員にセキュリティ知識をしっかり浸透させるには、研修が有効です。 電子メールの誤送信対策や安易なパスワード設定、不審なURLはクリックしない、SNSの利用方法など、社員への教育を徹底し情報漏えいを防ぎましょう。 ③テレワークへの対策 近年一気に普及したテレワークですが、オフィス以外での労働には情報漏えいやウイルス感染などのリスクが伴います。まずはテレワーク時のデータの取り扱いや持ち出しに関して社内ルールを定めましょう。 テレワーク時に使う端末にはウイルス対策ソフトの使用はもちろんのことネットワークへのアクセスは安全な回線の使用を徹底してください。 公衆Wi-Fiなどの使用はウイルス感染や情報漏えいの危険があるということを周知しましょう。 目次に戻る まとめ IT化が進んだ現代では、どんな企業にとっても情報システムやインターネットは必要不可欠な存在です。これらには大きな利便性がある一方、情報漏えいなどのリスクがあることに注意しましょう。システムに不具合が生じ、サービスが停止すると会社のイメージは失墜し、業績にもかかわる可能性があるため、しっかりとした強固な対策が必要です。 情報セキュリティは、不正アクセス対策や、マルウェア対策、自然災害の際の対策などと多岐にわたりますが、まず、取り掛かるべきなのは社員教育の徹底です。社員の情報セキュリティへの意識を高め、会社の情報を守りましょう。 社内で情報セキュリティに関する周知をする際は「learningBOX ON」の情報セキュリティ研修コンテンツをご活用ください。learningBOX ONは、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加することができるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することができます。 情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
サムネイル

【12月20日】learningBOX利用規約改定のお知らせ

2022年12月20日 お客様各位 learningBOX利用規約改定のお知らせ 平素はlearningBOXをご利用いただきまして、ありがとうございます。 learningBOXの利用規約につきまして、下記の通り改定させていただきます。 改定日前後はご不便をおかけいたしますが、ご理解の程よろしくお願いいたします。 記 1 改定日及び適用日:2023年1月25日(水) 2 改定規約:learningBOX 利用規約 3 主な変更点: ・第4条3項にて画面デザイン及びその保証についてはサービスの対象外とする旨を追記 ・第12条にてカスタマイズオプション(旧:デザインカスタマイズ)についての初回納品の記載の削除 ・第13条6項当社の責任範囲について、デザインに関する責任は含まれない旨を追記 詳しくはこちらをご覧ください(こちらのリンクは適用日以降非公開となります) 4 注意事項 フリープラン(無料プラン)をご利用の方は、適用日以降オーナー管理者様が新しい規約に同意されませんとユーザー様(登録メンバー様)がログインできない状態となりますので、ご注意ください。有料プランをご契約の方は、オーナー管理者様、ユーザー様(登録メンバー様)の区分等に関係なく通常通りご利用いただけます。 今回の規約改定に関するご質問等は、以下のメールアドレスまでお願いいたします。sales-team@learningbox.co.jp (※新型コロナウィルス感染症対策のため、サポートの規模を縮小して運営しております。ご理解ご協力のほど、よろしくお願いいたします。)
blog

情報漏えいのリスク一覧|種類別の被害例と原因ごとの対策案

近年、身近に情報漏えいの危険性が潜んでいることが多くの企業で認識されつつあります。サイバー犯罪の手口は年々巧妙化し、どんな企業でも標的にされる可能性があるためです。また、従業員の教育不足などを背景に、社内の人為的なミスから情報漏えいが起こるケースも存在します。 ここでは、こうした情報漏えいが企業にもたらすリスクや、発生を防ぐ対策、発生時の対応フローまで解説します。自社の情報漏えい対策を見直してみましょう。 情報漏えいがもたらすリスク一覧 近年では、情報漏えいのリスクを抑えるためにより強固な対策が必要になっています。従来のセキュリティ対策のみでは対応しきれず、深刻な情報流出が起こってしまった被害事例も少なくありません。その背景として挙げられるのが、新型コロナウイルス感染症拡大によるテレワークの浸透や、業務用スマホやタブレットを含むモバイル端末の普及です。 IPA(情報処理推進機構)の調査によると、2021年から情報セキュリティの脅威に新しく「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしています。まずは、注意すべきリスクを一覧形式でご紹介します。 【参考】 「情報セキュリティ10大脅威 2021」(独立行政法人情報処理推進機構) <情報漏えいがもたらすリスク一覧> 区分 リスク 実際に発生した事象の例 一次リスク なりすまし・不正利用の被害に遭う ・顧客のクレジットカードの不正利用 ・ 企業のSNSアカウント乗っ取り ・ 企業のなりすましメールの拡散 損害賠償・刑事罰を受ける ・ 加害者に1年以下の懲役または50万円以下の罰金刑 ・ 被害者全員に10,000円の支払い ・ 被害者全員に500円の金券配布 Webサイトを改ざんされる ・ 意図しない広告が表示される ・ 別サイトに自動アクセスされる ・ 閲覧者をマルウェア感染させる 二次リスク 社会的な信用が低下する ・ 重要顧客の取引が中止される ・ 市場シェアが小さくなる ・ SNSでネガティブな評判が拡散される 従業員の不安や不信につながる ・ 退職者が増える ・ 職場の雰囲気が悪くなる なりすまし・不正利用の被害に遭う なりすましとは、インターネット上で第三者が別の人のふりをして不正を働くことです。IDやパスワード、メールアドレスなどの個人情報が悪用される被害につながります。 企業になりすましたメールが拡散されたり、顧客のクレジットカードが不正利用されたり、企業のSNSのアカウントが乗っ取られたりする被害が懸念されます。 損害賠償・刑事罰を受ける 個人情報の漏えいが発覚した場合、国からの措置命令や罰金を受ける可能性があります。2022年4月に施行された個人情報保護法の改正により、措置命令と罰金が強化されました。措置命令に違反した場合、1年以下の懲役または100万円以下の罰金が科せられます。 また、情報漏えいにより民事上の損害賠償責任が発生するケースもあります。情報漏えいは、他人の権利や利益を違法に侵害する不法行為にあたるためです。さらに、損害賠償とは別に、企業が金券や電子マネー、ポイントなどの謝罪金を支払った事例もあります。 【参考】 「令和2年 改正個人情報保護法について」(総務省) Webサイトを改ざんされる 悪意ある第三者がWebサイトの脆弱性を狙って不正アクセスを行い、知らぬ間に内容を改ざんされるリスクがあります。 改ざんにより自社のビジネスとは無関係な広告を表示させるほか、ユーザーを偽サイトへ遷移させたり、マルウェア感染させたりする手口もあるため注意が必要です。 社会的な信用を低下させる 情報漏えいは、取引先や顧客からの信頼を損ない、社会的信用やブランドイメージの低下を招きます。SNSでの風評被害や株価の下落なども懸念されます。 事故をきっかけに、営業活動やサービス運営の停止を避けられない事態となれば、大きな損失に発展する恐れもあるでしょう。 従業員の不安や不信につながる 情報漏えいが社内に与える影響も少なくありません。従業員は企業に対して不安や不信を感じるようになり、業務へのモチベーションが低下しやすくなります。 また、事故後の社外対応で過労となったり、ストレスを溜め込んだりしやすく、退職者の増加につながりかねないのも注意点です。 目次に戻る 情報漏えいの主な原因とリスクを減らす対策例 企業の情報漏えいは、主にどのような原因で発生するのでしょうか。原因別の対策を講じて、社内の情報管理を徹底しましょう。 情報漏えいの主な原因 情報漏えいの原因は、主に「内部の人為的なミスによる漏えい」「内部からの意図的な漏えい」「外部の攻撃による漏えい」の3つに大別できます。情報漏えいを未然に防ぐためには、原因に応じて多方面から施策を実行することが必要です。 <情報漏えいが発生する原因と発生元・発生要因> 区分 主な原因 発生元 発生要因 内部 人為的ミス ・ 置き忘れや紛失 ・ 不注意な会話やSNS発信 ・ メールやシステムの誤操作 ・ 正社員 ・ 退職者 ・ 業務委託 ・ パート・アルバイト ・ 出入り業者など ・ 不注意 ・ 知識不足 など 意図的 ・ 不正持ち出し ・ 不正操作 ・ 経済的な理由 ・ 組織への不信不満 など 外部 悪意による攻撃 ・ サイバー攻撃 ・ マルウェア感染 ・ 盗聴や盗難 ・ 単独犯/組織犯 ・ 愉快犯 ・ 国内犯/国際犯など 【原因別】情報漏えいの対策例 情報漏えいの原因は、「紛失・置き忘れ」「誤操作」「管理ミス」「盗難」など人為的なミスが60%以上を占めています。これは、2018年の日本ネットワークセキュリティ協会による調査結果で公表された数値です。 【参考】 「2018年情報セキュリティインシデントに関する調査報告書」(日本ネットワークセキュリティ協会) この結果からも、従業員のセキュリティ情報に関する知識や意識次第で回避できる情報漏えいは、比較的多いといえるでしょう。定期的な研修の実施やガイドライン・ルールの策定などの施策が有効です。 以下の表では、ヒューマンエラーの原因別に効果的な情報セキュリティ対策をまとめました。ぜひ参考にご覧ください。 <人為的なミスによる情報漏えいの原因と対策例> 原因 対策例 管理ミス ・ 私用パソコンを社内ネットワークにつなげない ・ 紙の書類は必ずシュレッダーで廃棄する ・ 業務用と私用のメールアドレスを使い分ける ・ 業務用パソコンのロックをせずに離席しない 誤操作 ・ メールの誤送信防止システムを導入するメールの誤送信防止システムを導入する ・ 送信データを暗号化する 置き忘れ・紛失盗聴・盗難 ・ 電車の網棚に荷物を置かない ・ 会社の情報を自宅に持ち帰らない ・ USBメモリなど持ち歩ける記録媒体を使用しない ・ SNSで仕事に関する情報を発信しない ・ エレベーターや居酒屋などの公共の場で仕事の話をしない    目次に戻る 情報漏えい発生時にリスクを抑えるための対応フロー もしも自社で情報漏えい事故が発生してしまったら、以下のフローで速やかに対応しましょう。最後に、緊急時に備えて確認すべき対応フローをご紹介します。 Step1. 実態確認と即時報告 情報漏えいの予兆や、発生後の影響を確認した場合、すぐに責任者へ報告します。まずは責任者を中心に、社内体制や一次対応の方針・内容を定めます。その際、原因究明の手掛かりとなる証拠を消さないよう、使用機器の不用意な操作は行わないようご注意ください。例えば、事態に関連するメールやファイルの削除などは行わないようにしましょう。 Step2. 二次被害を抑える初動対応 次に、情報漏えいの被害拡大、二次被害の防止に向けた応急処置を行います。場合によっては、サービスの一時的な停止などの対応策が検討されるケースもあるでしょう。 個人情報漏えいでは、被害を受けた方に連絡を取り、パスワード変更やサービス利用の停止を依頼することも必要です。 Step3. 原因究明と情報公開 事実関係の調査を実施し、情報漏えいが発生した原因を突き止めた上で、正確な情報を公開します。そこで重要なのは、根拠のある確実性の高い情報を公表することです。 曖昧な情報や憶測など、混乱を招くおそれのある情報は発信を避けるようご注意ください。 Step4. 関係各所への報告や公表 企業が情報漏えい事故の説明責任を果たすために、関係各所への報告や公表を行います。取引先や顧客に通知するだけでなく、監督官庁・警察・IPA(情報処理推進機構)などへの届け出も必要です。公表のタイミングは、被害拡大につながるリスクがないか考慮した上で策定しましょう。 Step5. 再発防止策の検討と実施 初動対応が完了し、営業活動やサービスが復旧したら、再発防止策へ取り組みます。情報漏えいの原因から課題を特定し、対策を講じるとともに、被害者への損害賠償や従業員の処分なども行います。 なお、再発防止策の公表内容によっては第三者に脆弱性を知られる恐れがあるため、公表する範囲は十分に検討しましょう。 【参考】 「情報漏えい発生時の対応ポイント集」(独立行政法人情報処理推進機構) 目次に戻る 情報漏えいのリスクに備えるために 情報漏えいのリスクに備えた対策や、被害を最小限に抑えるための対応フローをご紹介しました。情報漏えいの原因の中でも大部分を占めているのは、従業員の人為的なミスによるものです。社内の情報セキュリティ教育の充実化が、リスクの低減につながると考えられています。万が一の事態に備えて、社員教育にも力を入れましょう。 社内で情報セキュリティに関する周知をする際は、「learningBOX ON」の情報セキュリティ研修コンテンツをご活用ください。「learningBOX ON」は、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加することができるサービスです。自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することができます。 情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修にご活用ください。    ▼こちらもおすすめ!あわせて読みたい 目次に戻る
learningBOXをもっと知りたい方へ
jaJA