改正個人情報保護法に伴う従業員教育、何が求められるか?

2022年4月に全面施行となった「改正個人情報保護法(以下、改正法)」に合わせて、多くの企業はまずプライバシーポリシー改訂や公表事項の追加・修正といった社外対応に追われていたのではないでしょうか。社内向けの対応はどうしても後回しになりがちですが、従業員教育も重要なタスクの一つだということを忘れてはいけません。

今回は、改正法における従業員への情報セキュリティ教育について詳しく解説します。従業員教育を行う必要性や具体的に盛り込むべきポイント、そしておすすめの外部サービスについて紹介しますので、これから研修を検討している担当者の方は参考にしてください。

従業員へ情報セキュリティ教育を行う必要性

まず前提としてなぜ従業員教育を行う必要があるのでしょうか?個人情報保護法に対する社内啓蒙に加えて、従業員のセキュリティ意識を高めなければならないと感じさせる事件が次々に起こっています。

東京商工リサーチが行った2021年度の調査では、上場企業における個人情報漏えい・紛失事故の件数(137件)と発生社数(120社)が2012年以降の10年間で最多を記録しています。さらに事故の内訳を見てみると、「ウイルス感染・不正アクセス」の68件(構成比49.6%)が最多で、次いで「誤表示・誤送信」が43件(同31.3%)、「紛失・誤廃棄」(16件11.6%)となっており、人為的ミスが中心となっていることが明らかです。

参考:東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」(2021年)

類似のデータとして、一般財団法人日本情報経済社会推進協会(JIPDEC)が公表している「2021年度『個人情報の取扱いにおける事故報告集計結果』」によれば、Pマーク取得事業者から計3,048件の事故報告がありました。事故の内訳として、「誤送付」(1,938件:63.6%)が最多となっており、次いで「その他漏えい」(570件:18.7%)、「紛失」(380件:12.5%)となっています。上記の調査と同様に、人為的ミスが多いことが分かります。

※「その他漏えい」とは、関係者事務処理・作業ミス等、プログラム/システム設計・作業ミス(システムのバグを含む)などが該当します。
※上記内容については、こちらの記事で詳しく解説しています。

直近では、兵庫県尼崎市の個人情報を含むUSBメモリーが紛失した事例や島根県雲南市で個人情報を保護者へ誤送信してしまった事例などが記憶に新しいですが、これらを見て自身のヒヤリハットを思い浮かべた方もいたのではないでしょうか。「結果的に重大な事故にはならなかったが紙一重のトラブルだった」という経験は、誰しも経験のあるものかもしれません。

情報社会と言われる昨今では、こうした危機管理に対する意識の底上げを図っておく必要があるのです。

従業員教育の具体的なポイント

では、具体的にどのような教育を行えば良いのでしょうか。ここでは「意識向上」と「仕組み作り」の2つの視点から紹介します。

従業員の知識と意識の向上

知識のアップデート

個人情報保護法は数年ごとに改正されることになっており、定期的な知識のアップデートが必要です。定期的な教育機会を設け、社員全体へ情報を共有しなければなりません。

改正個人情報保護法において社内周知が必要な例を挙げてみます。

◆「情報漏えい発生時の関係当局への報告・本人への通知義務

情報漏えいが発生した場合の報告や通知について、法改正前は“努力義務”とされていましたが、今回の法改正により義務化となりました。(※1)具体的には、以下①~④のいずれかに該当する場合(=報告対象事態)には、報告・通知の対応が必須とされています。

  • ①要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。)の漏えい、滅失若しくは毀損が発生し、又は発生したおそれがある事態
  • ②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
  • ③不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
  • ④個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

情報漏えい事案が発生またはそのおそれがある場合、まずどの部署の誰に報告すべきか、指揮をとるのは誰か等、報告フローについては全従業員が認識しておくべきです。事案の大小に関わらず、従業員や委託先が個々に処理してしまうことには大きなリスクがありますので、何かあったら即時報告を徹底するよう周知しましょう。(※2)

※1:Pマーク取得事業者においては、以前より関係当局への報告が義務化とされています。
※2:基本的に関係当局への報告は、「速報(個人情報取扱事業者が当該事態を知った時点から概ね3~5日以内)」「確報(速報に加え30日以内)」の2段階とされています。

他にも、「個人関連情報の第三者提供での本人同意等確認義務」「仮名加工情報の創設」「第三者提供記録の徹底」など、従業員が実務上認識しておくべき最新のアップデートが多くあります。このように、個人情報については、時代に合わせて法改正があること、企業側も慎重に扱うべきデータだということを社内に周知しておきましょう。

日々の業務に潜むセキュリティリスク

社内に潜むセキュリティリスクについて考える前に、まずは情報資産の把握が必要です。情報資産といえば、一般的にはパソコンやスマートフォン、USBメモリといったものが思い浮かびますが、一見意味のないように見えるものも、いつどこで価値が高まるか分かりません。社内で扱う情報はすべて資産であるという認識を持つことが重要です。

その中でも、普段から使う頻度の高いメールについて従業員の意識を高めておく必要があります。上記調査でも「誤操作」は情報漏えいの大きな要因となっており、メールの操作方法についてはルールを周知徹底しておかなければなりません。テレワークでチェック体制が曖昧になっている場合はより注意が必要です。

また、不正メールへの対処法も同様です。昨今の不正メールの内容は時代に合わせて巧妙に変化しているため、特徴を知り不正を見抜く力を養うことが求められます。もし不正メールを受信したり、誤って開封してしまったりした場合の社内報告・対応などについても周知しておくことが望ましいでしょう。

SNSの利用方法

FacebookやTwitterなどからうっかり自社の機密情報を発信してしまったというニュースがたびたび話題になるように、SNSは一度アップして拡散されてしまえば情報を止める手段がありません。特に、入社歴の浅い社員にはプライベートアカウントの利用についても注意が必要です。

研修の仕組み作り

社内研修のポイントは、適切な実施計画を策定・実行し、研修後の振り返りまでを一括りにして実行することです。最低でも一年に一回以上は全社員に研修を実施し、進捗や理解度を把握するための報告書を作成します。

研修の形式は、リモートワークの推進により教育体系も多様化していますので、講義型やテキスト配布の自習、動画視聴、eラーニングなどをうまく組み合わせて、社員が自主性を持って取り組めるよう工夫が必要でしょう。また、テーマや目的によっては、参加メンバーを限定したり、外部講師による実施などを検討することも有意義です。

また、研修を実施する際には、確実に教育を浸透させるためにテストを行い、一定水準以上の習得が見られなければ個人情報取り扱い業務から外すなどの対策を検討しても良いかもしれません。

外部サービスをおすすめする理由

より専門的かつ効果的な従業員教育を行うために、ここでは外部サービスの活用をおすすめします。

従業員教育を外部のプロへ委託するメリットは、最新の専門知識を得られることです。情報セキュリティを脅かす脅威は刻一刻と形を変えており、古い情報で教育を行っても意味を成しません。最新の知見を持った専門家による指導は従業員への説得力も増すことでしょう。さらに、知人ではなく第三者からのアドバイスには耳が傾けられやすい側面もあります。

おすすめのコンサルティングサービス

今回は、300社以上の教育コンサルティングの実績を持つ日本パープルの情報セキュリティ教育サービス「Coach Mamoru」をご紹介します。経験豊富な講師が、参加者が主体的に学べるプログラムを用意し、セキュリティレベルに応じたケーススタディやロールプレイ、ディスカッションなどを交えた実践的内容を行います。企業の要望や課題に応じて研修内容をカスタマイズすることができ、コンサルティングサービスを初めて利用するという企業にもおすすめです。

専門家を巻き込んで、効果的な従業員教育を行おう

前述の通り、不正メールや情報漏えいなどの情報セキュリティ事故の多くは、人的要因で発生しています。そのため、事故防止にはセキュリティソフトの導入といった機械的な対策だけではなく、社員一人ひとりの意識向上が大きな鍵となります。

最新の情報を持って従業員教育をより効果的なものにするためにも、今回ご紹介したコンサルティングサービスの導入を積極的に検討してみてはいかがでしょうか。

詳しく知りたい方はこちら