ISO27001/ISMS、テレワークセキュリティ対策支援、プライバシーマーク/Pマーク取得のことなら名古屋のエスケイワード コンサルティング事業部まで
お電話でのお問い合わせ
052-953-7167
受付時間 平日9:00~18:00
今回のセミナーでは、自社のセキュリティ教育のマンネリ化や、最新ガイドライン対応への課題感を少しでもクリアにしていただける内容をお伝えしました。
また、アンケートでは「もっと早く知りたかった」「経営陣や他の教育担当者にも絶対に受講させたいと思える」などの評価を頂きました。
サプライチェーン全体の水準を底上げする「SCS評価制度」の開始まで残り1年を切り、今後はあらゆる企業で「星3」以上の取得が必須要件になるというお話に強い危機感を覚えました。また、最近のNDAでは「生成AIへの入力禁止」や「クラウドのデータ保管場所」まで厳格化されているため、早急な契約・委託先管理の見直しが必要である内容で解説をさせて頂きました。
ただルールを押し付けるだけの研修では今の若手社員に響きません。自社の理念やクレド(物語)とセキュリティを紐づけ、「なぜ守る必要があるのか」を伝えることで、社員の「自分ごと化」と主体性を促せるという解説をさせて頂きました。
最新の研修に組み込むべき項目として、具体的な損害賠償額の提示、生成AIのハルシネーション(誤情報)対策、テレワークやBYOD(私用端末利用)のリスクなどが提示されました。なかでも、インシデント発生時に隠さず速やかに報告できる「心理的安全性」のある初動フローの重要性等も解説させて頂きました。
ご受講いただいた皆様より、多くのご質問をいただきました。大変ありがとうございます。
こちらで情報セキュリティ管理者様のお悩みと解決策やアドバイスを共有させていただきます。
少しでも情報セキュリティ管理者様、ご関係者様のお役にたてましたら幸いです。
サプライチェーンの強靭化を掲げる「SCS評価制度」に関し、実際の運用面やパートナー企業の管理手法など、皆様が抱える不安や疑問点を解消いたします。
【Q-1】
自社が「星5(最高ランク)」を取得していても、再々委託先がサイバー攻撃に遭って情報漏洩した場合、元請けが責任を負うことになりますか?
【A-1】
連帯責任として、元請け企業が法的・社会的な責任を問われる可能性は十分にあります。セキュリティ対策は「自社が万全なら安心」ではありません。委託先、さらにはその先の再々委託先まで含めたサプライチェーン全体のガバナンスを効かせることが、元請け企業には求められます。
【Q-2】
今後、入札等でSCS評価制度が義務化された場合、ISMS認証を取得していればカバーできますか?
【A-2】
いいえ、別途対応が必要になるケースが想定されます。現在の基準ではISMS認証の方が上位にあたりますが、入札要件や取引先からの要求として「連携先(委託先)にSCS評価制度の★3取得を義務付ける」といったケースが増える可能性があります。自社がISMSを持っていても、取引条件として個別対応が必要になる場合があります。
【Q-3】
SCS評価制度は、個人事業主や一人親方にも適用されますか?
【A-3】
はい、適用されます。企業の規模に関わらず、サプライチェーンの一部を担う以上、個人事業主の方も評価・対策の対象となります。
【Q-4】
SCS評価制度が求められるような案件で、短期アルバイトを雇用・利用することは難しいでしょうか?
【A-4】
雇用自体は問題ありません。ただし、徹底したルール周知が必要です。短期雇用であってもリスクは同様に存在します。自社のセキュリティルールやガイドラインを短期間でしっかりと理解・遵守してもらうための教育体制や仕組みづくりを行うことで、リスクを回避しながら対応可能です。
クラウドサービスや生成AIの普及に伴い、従来のNDAだけではカバーしきれないセキュリティリスクが浮き彫りになっています。
【Q-1】
NDAのセキュリティ基準を満たすクラウドサービスを選ぶ目安はありますか?
【A-1】
クラウドセキュリティの国際規格である「ISO 27017」などの認証を取得しているサービスが一つの目安となります。第三者機関による認証を受けているサービスを選ぶことで、客観的な安全性を担保しやすくなります。
【Q-2】
NDAの基準を満たす「生成AIサービス」はありますか?
【A-2】
現時点で「完全に基準を満たす」と明言できるサービスは限定的です。最低限、データのオプトアウト設定ができるものを選びましょう。
生成AIを利用する際は、入力したデータがAIの追加学習に利用されない「機械学習利用のオフ(オプトアウト)」ができるサービス・プランを選ぶことが必須の前提条件となります。
【Q-3】
NDA締結後、利用を控えた方がいいクラウドや生成AIはありますか?
【A-3】
個別の契約内容(顧客要求事項)によって異なります。契約書内の「委託先の制限」や「データの取り扱いに関する条項」を必ず事前に精査し、個別のお客様との約束事に違反しないかを確認してください。
【Q-4】
NDAに対応するための環境整備(新サービスの契約や費用負担)は、委託側の責任になりますか?
【A-4】
はい、原則として委託側(業務を出す側・管理する側)が環境を整備する責任を負います。費用面などの負担は発生しますが、機密情報を守るための必要不可欠な投資として捉える必要があります。
セキュリティは「人」の問題でもあります。世代間の価値観の違いや、企業理念の浸透に悩む管理者様は少なくありません。また、コミュニケーションを推進する為に、ナラティブの活用も重要です。
【Q-1】
デジタルネイティブの新入社員と管理職世代でITへの危機感にギャップがあります。私用スマホでの特定SNS(BeRealなど)の利用を会社が禁止することはできますか?
【A-1】
個人所有の端末の「私生活での利用」を会社が強制的に禁止することは原則できません。ただし、「勤務中や業務スペース内での制限」は可能です。社員の私生活におけるアプリ利用を完全に禁止することは、プライバシー権の観点から「お願い」ベースに留めるのが基本です。しかし、最近では「BeReal」などのSNSに投稿した写真の背景に、職場の機密情報や個人情報が写り込んでしまい、重大な情報漏洩に発展するケースが実際に起きています。対策として、私生活での利用をただ禁止するのではなく、「執務室やバックヤードなど、業務スペースへの私用スマホの持ち込みを禁止・制限する」「勤務中の撮影を禁止する」といった社内ルール(就業規則やガイドライン)を明確に定めることが非常に有効です。リスクを正しく伝え、安全な運用の仕組みを作りましょう。
【Q-2】
新入社員に対して、挨拶や礼儀などの教育は必要でしょうか?
【A-2】
非常に重要です。挨拶や礼儀は、情報セキュリティの土台でもあります。セキュリティの基本は「適切なコミュニケーション」と「規律」です。職場での適切な関係性やマナーを身につけることは、不審な挙動への気づきや、トラブル時の迅速な報告(心理的安全性)にもつながります。
【Q-3】
パーパスやMVV(ミッション・ビジョン・バリュー)を作ったものの、社員に浸透していません。どうすれば評価・確認できますか?
【A-3】
「日常の業務や判断基準において、理念が使われているか」を仕組みに組み込むことが必要です。理念は作っただけでは浸透しません。例えば、人事評価の項目にバリューに沿った行動評価を組み込んだり、定期的な従業員アンケート(パルスサーベイ等)を実施することで、浸透度合いを可視化・確認することができます。
【Q-4】
企業方針(クレド)と、現場の実態、最初の段階では、ギャップがあり、不満になってしまう事が気になります。
【A-4】
理想と現実の乖離は、実態に合わせた「定期的な見直し」で解消していく必要があります。掲げた方針がただの理想論(お飾り)になっていると、不信感を招く原因になります。現場の声に耳を傾け、時代や実態に合わせてクレドや方針をブラッシュアップし続ける姿勢が大切です。また、会社方針(クレド)等の浸透も重要です。例えば、クレドブック等を作成し、社員が楽しく活用して頂くような、仕組みを作る事で、これら課題が解消できるようになります。
形だけの研修から脱却し、社員一人ひとりが当事者意識を持てる教育を行うためのポイントです。
【Q-1】
新入社員研修の後、内容を遵守させるための契約書などを締結すべきですか?
【A-1】
はい、強く推奨します。研修内容の遵守や、業務上知り得た情報の機密保持に関する「誓約書(インサイダー取引防止や秘密保持に関するもの)」を締結することで、受講者側の意識を「自分ごと」として引き締める効果があります。
【Q-2】
教育資料の情報が古く、アップデートしたいのですが、専門知識が薄くどこから手をつければいいか分かりません。
【A-2】
ぜひ、専門家である弊社にご相談ください!セキュリティのトレンドは日々変化します。お客様の現在の運用状況や課題を丁寧にヒアリングした上で、最新の脅威に対応した最適なカリキュラム案をご提案いたします。
【Q-3】
社員のセキュリティ知識レベルが一定基準に達しているか測るにはどうすればいいですか?
【A-3】
ナレッジ共有から有効性評価(テストや訓練)まで、トータルでの仕組みづくりが必要です。単発のテストだけでなく、定期的な理解度チェックや標的型メール訓練などを組み合わせることで、組織の正確なレベルを可視化できます。こちらも弊社にて全体の仕組みづくりをサポート可能です。
【Q-4】
クラウドサービスを利用する際の「セキュリティ評価」は、どのように考えればよいでしょうか?
【A-4】
プライバシーマークなどの「委託先評価基準」に準じるのが一般的です。また、SLA(サービスレベルアグリーメント)の確認も重要です。預ける情報の重要度や量に応じて、サービス提供元が提示するSLA(品質保証範囲)を精査し、万が一のトラブル時の対応範囲を明確にしておくことがリスク管理の鍵となります。
今回のセミナーでは「情報セキュリティ教育カリキュラム(10項目)」について解説させていただきました。
情報セキュリティ対策は、技術的な防御だけでなく、契約、組織カルチャー、そして人の教育まで多岐にわたるトータルアプローチが必要です。
「自社の対策が今のトレンドに合っているか不安」「社員教育をアップデートしたい」という管理者様は、ぜひ一度、弊社までお気軽にお問い合わせください。貴社の現状に寄り添った最適なソリューションをご提案いたします。