だから、企業文化としてのセキュリティ教育が重要
2025年7月18日、ジブラルタ生命保険で元営業社員が顧客情報を不正に持ち出し、闇金業者に提供したという事件が公表されました。
https://www.gib-life.co.jp/st/about/is_pdf/20250425.pdf
これは、組織的なセキュリティインシデントというより、「たった一人の社員の不正行為」による情報漏えいです。
事件の背景にあるのは、「人」。いつだって「人」。
どんなに堅牢なシステムを整備しても、最終的に情報を扱うのは「人」です。
人がもつ“リスク”とは何か
人間は感情のある存在です。
・困窮したときに“魔が差す”
・個人の価値観で“これは大丈夫”と判断する
・“他人事”だとセキュリティ意識が希薄になる
そんな人間の不完全さこそが最大のリスクでもあります。
この事件からは、そんな人間の弱さが見えてくるところです。
だからこそ必要なのが「教育」
情報を守るためには、社員一人ひとりが「これは守るべきものだ」という認識を持ち、知識と判断力を養う必要があります。
それは単なるルール遵守の“訓練”ではなく、企業文化としての「教育」でなければなりません。
悪いことをする人はいつだっていますが、企業として従業員のモラルやリテラシーを上げていく必要がある時代です。
セキュリティリテラシーは企業文化を育てる“根っこ”
「ウチは技術的対策は万全だから大丈夫」
そんな言葉をよく耳にしますが、技術は人を律しません。人が技術を扱うのです。
本当に情報を守る企業は、技術とともに「教育」にも投資します。
それが企業の文化をつくり、従業員一人ひとりの判断力を育てていくのです。
◆ 情報セキュリティリテラシー向上のための10のチェック項目
| チェック項目 | 内容 |
| ① パスワード管理 | 定期的な変更、複雑性、使い回し禁止を実践しているか |
| ② 不審メールの見極め | フィッシングメールを見分けるスキルがあるか |
| ③ 個人情報の取扱意識 | 委託先・取引先情報なども「守るべき情報」と認識しているか |
| ④ 私物使用管理 | 私物媒体や外部記憶媒体の使用にルールがあるか |
| ⑤ 保存のルール | ローカル保存を避け、共有設定も適切に管理できているか |
| ⑥ 持ち出しデバイスの管理 | スマホやPCを持ち出す際のルールを理解し、実践しているか |
| ⑦ ソーシャルエンジニアリング対策 | 電話や会話からの情報漏えいに警戒できているか |
| ⑧ 個人所有のSNS利用 | 勤務中・業務内容を投稿していないか |
| ⑨ セキュリティ研修の参加履歴 | 定期的に研修を受講しているか |
| ⑩ 社内報告のしやすさ | インシデントの兆候を見たとき、すぐに報告できる雰囲気があるか |
最後に
“人”に依存する情報セキュリティだからこそ、“人”を育てることがカギになります。
ジブラルタ生命の事件は、他人事ではありません。
情報セキュリティは、教育から始まる。
それをどう文化として根付かせるかが、未来の企業価値を左右すると言っても過言ではないでしょう。
認証(審査)を上手く使って、企業文化を醸成させる攻めの経営をご検討ください。