株式会社ベネッセコーポレーションの個人情報漏えい事件は記憶に新しいのではないでしょうか。これがきっかけで、情報セキュリティ対策に本腰を入れて取り組むこととなった企業も少なくないと思います。

この事件は、意図的に内部の人間が個人情報を売ったという極めて悪質なものでした。ただ、こうした不正による情報漏えいは、実はあまり多くありません。NPO法人日本ネットワークセキュリティ協会(JNSA)によると、2018年度に起きた不正による情報漏えいは全体の2.9%。97.1%は、不用意や意識の欠如によって情報が漏えいしてしまったという事故になります。

こうした事故の原因の多くは、社員の意識・関心の低さにあると考えます。そしてこうした事故を起こさない、起こりにくくするためには、個人に対して、「楽しさ」と「恐怖」を加味した教育を行うのが効果的であると考えています。

今回は、情報漏えい事故の現状とその原因、対策のポイントについて、当社の情報セキュリティ対策担当者が解説します。

eラーニングでの情報セキュリティ研修を成功させた企業の事例を交えてお伝えしていきます。

eラーニング全教材受け放題プラン「まなびプレミアム」

エンタープライズに認められた、ハイクオリティな教材

20年以上にわたりエンタープライズの厳しい要求水準に応え続けてきたライトワークスが厳選した多様なコンテンツを、破格のコストでご提供。

情報セキュリティ対策が求められる背景

まずは情報漏えいの現状と事故の原因、そして、情報セキュリティについて企業がどのような取り組みを行っているのかについて見ていきます。情報セキュリティ対策について企業が何を行うべきか、事故原因と企業の取り組み状況を照らし合わせることで見えた、一つの解答を提示いたします。

日本国内における情報漏えいの状況

2018年に行われたJNSAの調査では、個人情報漏えい人数は減少傾向にありました。これは、ベネッセの一件以降、多少なりとも情報セキュリティに関する意識が向上したためと思われます。

【情報漏えいインシデント[1] 件数と人数の経年変化】

情報漏えいインシデント件数と人数の経年変化_情報セキュリティ研修の必要性

NPO日本ネットワークセキュリティ協会「2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)」,p11,を元にライトワークスにて作成,https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf(閲覧日:2023年5月31日)

しかし、株式会社東京商工リサーチの調査では、2022年に上場企業とその子会社で個人情報の漏えい・紛失事故を公表したのは150社で、事故件数は165件、漏えいした個人情報は592万7,057人分です。企業数と事故件数は、2012年に調査を開始して以降、2年連続で最多を更新しています。

【漏えい・紛失事故 年次推移】

情報漏えい・紛失事故の年次推移_情報セキュリティ研修の必要性

株式会社東京商工リサーチ「個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~」,2023年1月19日,を元にライトワークスにて作成,https://www.tsr-net.co.jp/data/detail/1197322_1527.html(閲覧日:2023年5月30日)

2012年から2022年までの11年間の事故件数は累計1,090件に達し、漏えい・紛失した可能性のある個人情報は累計1億2,572万人分です。この数字は日本の人口に迫る件数で、いまや個人情報漏えいは誰にでも起こり得る状況です。

一度は減少傾向にあったものの、再び情報漏えい事故が増加している現状を見ても、企業は情報漏えいに対して常に警戒し、対策し続ける必要があると言えるでしょう。

情報漏えい事故の原因

なぜ、漏えい事故が起こるのでしょうか。その原因は、管理ミスや誤操作といった人為的ミスが大半だという調査結果が出ています。

【 2019年度 原因別個人情報漏えい件数】

原因別の個人情報漏えい件数_情報セキュリティ研修の必要性


参考:NPO日本ネットワークセキュリティ協会「2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)」,p5,を元にライトワークスにて作成,https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf(閲覧日:2023年5月31日)

当社では、社員への教育不足が、情報漏えい事故の大きな原因の一つだと考えています。

総務省の「令和元年版情報通信白書」では、「企業における情報通信ネットワークを利用する上での問題点」として、40.6%の企業が従業員のセキュリティ意識が低いと答えています。

【企業における情報通信ネットワークを利用する上での問題点】

企業における情報通信ネットワークを利用する上での問題点_情報セキュリティ研修の必要性


総務省「令和元年版 情報通信白書」,p258,を元にライトワークスにて作成,https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r01/pdf/n3200000.pdf(閲覧日:2023年5月26日)

しかし、「令和2年版情報通信白書」によると、従業員に対するセキュリティに係る教育・訓練の実施に取り組んでいると答えている企業は30%程度で、決して高いとは言えません。「令和3年版情報通信白書」の「企業における情報セキュリティ対策の実施状況」でも、パソコンなどの端末にウイルス対策プログラムを導入している企業は84%ですが、情報セキュリティ教育を実施した企業は49.4%にとどまっています。

【企業における情報セキュリティ対策の実施状況(複数回答)】

企業における情報セキュリティ対策の実施状況_情報セキュリティ研修の必要性

総務省「令和3年版 情報通信白書 安全なインターネットの利用に向けた課題」を元にライトワークスにて作成,https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r03/html/nd242130.html(閲覧日:2023年5月30日)

また、中小企業を対象にした独立行政法人情報処理推進機構(IPA)の調査では、55.1%の企業が、従業員に情報セキュリティ教育を実施していないという結果も出ています。

【従業員に対する情報セキュリティ教育の実施状況】

従業員に対する情報セキュリティ教育の実施状況_情報セキュリティ研修

IPA「2021年度中小企業における情報セキュリティ対策に関する実態調査 ― 調査報告書 ―」,p29,を元にライトワークスにて作成,https://www.ipa.go.jp/security/reports/sme/ug65p90000019djm-att/000097060.pdf(閲覧日:2023年5月3日)

従業員への情報セキュリティ教育が十分だといえない現在の状況では、いつ事故が起こっても不思議ではないのではないでしょうか。企業における情報セキュリティ対策を強化するためには、社員研修を進めていくことが重要であるといえます。

関連eラーニング教材:情報セキュリティのエッセンス(マルチリンガル対応)日本語目次

情報セキュリティ研修の費用

企業は、情報セキュリティ研修のためにどれくらいの費用を使っているでしょうか。

IT予算に占める情報セキュリティ関連費用の割合は、企業規模や業種によって異なります。一般社団法人 日本情報システム・ユーザー協会(JUAS)による企業IT動向調査報告書 2023(対象1,025社)と、JNSAによる国内情報セキュリティ市場2021年度調査報告を照らし合わせて、同規模・同業種の企業がどれくらい情報セキュリティ教育に費用を充てているのか見てみましょう。

【業種グループ別 売上高に占めるIT予算比率 ※2022年度 トリム平均値[2]

業種グループ別売上高に占めるIT予算比率_情報セキュリティ研修の予算

一般社団法人日本情報システム・ユーザー協会(JUAS)「企業IT動向調査報告書 2023 」,p39,を元にライトワークスにて作成,https://juas.or.jp/cms/media/2023/04/JUAS_IT2023.pdf(閲覧日:2023年5月29日)

【2022年度 売上高別 IT予算に占める情報セキュリティ関連費用の割合】

売上高別-IT予算に占める情報セキュリティ関連費用の割合_情報セキュリティ研修の予算

一般社団法人日本情報システム・ユーザー協会(JUAS)「企業IT動向調査報告書 2023 」,p91,を元にライトワークスにて作成,https://juas.or.jp/cms/media/2023/04/JUAS_IT2023.pdf(閲覧日:2023年5月29日)

2020年度 国内情報セキュリティ市場規模金額(百万円)
エンドポイント保護管理製品212,400
ネットワーク防御・検知/境界線防御製品229,700
コンテンツセキュリティ対策製品181,400
アイデンティティ・アクセス管理製品109,900
コンサルティング/診断サービス227,000
マネージド・運用サービス214,500
電子証明書発行・PK型認証28,100
リテラシー教育32,700
資格取得支援14,300
保険15,600
合計1,265,700
国内情報セキュリティ市場のうち、
情報セキュリティ教育(リテラシー教育)が占める割合
2.6%

参考:JNSA調査研究部会「国内情報セキュリティ市場2021年度調査報告」,p5,12~20を元にライトワークスにて作成,https://www.jnsa.org/result/surv_mrk/2022/data/report2021.pdf(閲覧日:2023年5月29日)

2020年度の国内情報セキュリティ市場規模は約1.2兆円。このうち、情報セキュリティ教育市場は約327億円(2.6%)となっています。よって、以下の計算式で情報セキュリティ教育費の目安が計算できます。

情報セキュリティ教育費 = 売上高 ✕ 自社業種グループの売上高に占めるIT予算比率 ✕ IT予算に占める情報セキュリティ関連費用の割合 ✕ 2.6%(情報セキュリティ教育の対市場比)

例えば売上高500億円の企業で、売上高に占めるIT予算比率を全体平均の1.24%とし、IT予算に占める情報セキュリティ関連費用の割合を15%と仮定して計算してみましょう。

売上高 50,000,000,000円  ✕  業種グループ別 売上高に占めるIT予算比率(全体) 1.24% ✕ IT予算に占める情報セキュリティ関連費用の割合 15% ✕ セキュリティ教育の対市場比率 2.6% = 2,418,000円

この数字から導き出される1社あたりの年間情報セキュリティ教育費は、おおよそ240万円と推定されます。

上記のように、自社の売上高や業種、IT予算に占める情報セキュリティ費用の目安などを計算式に当てはめて、情報セキュリティ教育費の目安を算出してみましょう。

情報セキュリティ研修を成功させるには?

ここでは、多くの企業における情報セキュリティ教育の実態と問題点を確認し、効果的な解決策を探っていきます。企業規模や予算の多少に左右されない、効果の期待できる情報セキュリティ教育とはどういうものか、押さえるべき重要なポイントについて見ていきましょう。

従来の情報セキュリティ研修

独立行政法人情報処理推進機構(IPA)によると中小企業における2021年度の情報セキュリティ教育の方法は、「関連情報の周知(社内メール・回覧・掲示板など)」が28.8%で大半を占めます。メールや回覧が教育と言えるかどうかは別として、これが実態なのです。先に述べた大企業では、さすがにメールだけで済ますようなことはないでしょうが、年間予算が240万円程度では、1人あたり5万円前後する外部セミナーを受講させようとしても、わずか40人程度しか受講できない計算になります。

より成功しやすい、これからの情報セキュリティ研修

今ではほぼ一般化されたのでご存知かもしれませんが、これからの情報セキュリティ教育は、eラーニングによる教育が最も効果的、かつ効率的な選択と言えるでしょう。規模や提供形態によって大きく前後しますが、240万円ほどの費用があれば、ある程度の規模で情報セキュリティ教育サービスの提供は可能です。

情報セキュリティ研修教材_情報セキュリティのエッセンス(サイバー攻撃対策)

当社汎用教材「情報セキュリティのエッセンス(サイバー攻撃対策)」より

「集合教育の方が効果的」というお客様やベンダーも数多く存在することも確かで、その効果もeラーニングをしのぐ場合もあります。ですが、一人ひとりを数時間拘束し、場所や講師、その他設備やテキストの印刷費用など諸々を考慮すると、果たしてその費用対効果はどうでしょう。ある程度の規模の企業であれば、eラーニングが効率的になる場合が多いのではないでしょうか。

ただし、eラーニングと言っても、集合教育をビデオ撮影したものを単に映像配信するだけでは、効果は見込めません。「教育した」という事実だけを残してもどうしようもないのです。あくまでも、事故を未然に防ぐことが目的なのですから、真に効果的なものにすべきであろうと考えます。

ここで重要となるのが、「楽しさ」と「恐怖」、つまりアメとムチになります。事例でも紹介しますが、当社のお客様は「楽しさ」と「恐怖」をeラーニングにふんだんに盛り込み、eラーニングの利点を活かして頻繁に教育を実施しています。回数が多いお客様だと月1回の頻度で取り組んでいるところもあります。

情報セキュリティ研修・内容の一例

偽メール訓練

2017年9月、日本航空は取引先の担当者を装った第三者からの偽メールにより、約3億8400万円の詐欺被害を受けました。

偽メールによる詐欺被害_情報セキュリティ研修


また、2018年1月、仮想通貨交換会社コインチェックから、約580億円分の仮想通貨NEMが流出しました。いずれも情報セキュリティ事故として、記憶に新しいですね。

偽メールによる詐欺被害_情報セキュリティ


当社では、eラーニングによる情報セキュリティ教育を毎年実施しています。これに合わせて偽メールの訓練も、数年前から日本航空やNEMの事件とほぼ同じ内容で実施しています。ウイルスまがいのプログラムを添付した偽メールを不意打ちで全社員に送るのです。当初は10%程度の従業員がトラップにかかっていましたが、現在ではほぼゼロです。

ISO27001の取得

従業員への情報セキュリティ意識向上に、ISOの取得もお薦めです。自社の情報セキュリティの定義、関連フローや書類の整備、教育を含めた体系化ができるため、取得できれば、意識向上という面で後の運用は非常に楽になります。何よりお客様からの信頼が格段に上がるでしょう。

当社も、2017年9月20日にISO27001:2013を取得しました。これまでも情報セキュリティ教育は実施してきましたが、よりヒヤリハットなどのささいな事象までISO責任者に報告が上がるようになり、全社的な情報セキュリティ意識が向上したことが見て取れます。

参考)「ISOは経営をダメにする」 萩原 睦幸 幻冬舎 2017年

関連eラーニング教材:情報セキュリティのエッセンス(マルチリンガル対応)日本語目次

情報セキュリティ研修をeラーニングで実施するメリット

営業研修など、学んだ内容をアウトプットして自分のスキルにしていく必要がある研修と異なり、情報セキュリティ研修は座学のみでの実施が可能な分野です。
そのため、eラーニングを活用することで効率的かつ持続可能な教育プログラムを実現しやすいでしょう。
ここでは、情報セキュリティ研修をeラーニングで実施するメリットをご紹介します。

柔軟性・利便性が高い

eラーニングは時間と場所に制約されず、オンライン上で受講できるため、受講者は自分のペースで学習することができます。
特に遠隔地にいる社員や複数の拠点を持つ組織にとっては特に便利です。

コストパフォーマンスが良い

eラーニングはトラベルや会場費などのコストを削減することができます。
一度作成したコンテンツは何度も研修に利用できるため、内容を更新する必要が出ない限りは追加費用が発生しづらいのも魅力といえるでしょう。

一定品質の研修を実施できる

講師の質などに左右されることなく、情報セキュリティに関する基本的な知識や押さえておくべきポイントを組織全体で学ぶことができます。
トレーニングの品質や内容を一元的に管理し、情報の漏洩やセキュリティ違反のリスクを最小限に抑えることができます。

参加者の進捗管理と評価ができる

eラーニングのプラットフォームは進捗管理機能を備えており、受講者の学習進捗や成績を追跡・管理することができます。
受講者の理解度やスキルの評価も容易に行えるため、リスク管理にも活用できます。

インタラクティブな学習体験を実現できる

eラーニングでは、ビデオ、クイズ、シミュレーションなどのインタラクティブな要素を組み合わせることができます。
これにより、受講者は実践的に情報セキュリティに関するスキルや意識を高めることができます。

eラーニングによる情報セキュリティ研修の実施事例

最後に、効果的な情報セキュリティ教育の重要なポイントである、「楽しさ」と「恐怖」をどのように取り入れていけばよいのか、各社の具体的な取り組みを参照していきます。業種・業界は違えど、本質を捉えることで、具体的な活用方法が見えてくるでしょう。

大手総合商社A社様

A社様は、情報セキュリティ教育を年4回、情報セキュリティの内容を含んだコンプライアンス教育を年1回、eラーニングで実施しています。

情報セキュリティ教育では、なりすましメールや改正個人情報保護など、毎回最新のトピックスを盛り込み、専門講師による動画を配信しています。テーマによって講師が変わるため、「楽しく」学習を進めることができます。コンプライアンス教育では、自社の事故事例を中心とした教訓学習になっています。社員にとって身近な内容となるため、いつ自身の身に降りかかるか分からず、「恐怖」を感じながら学習を進めています。最後には誓約書ページに「はい」をクリックしないと修了できないようになっていて、さらなる「恐怖」を植え付ける仕掛けになっています。

大手証券会社B社様

B社様では、業務や法令関連、情報セキュリティ関連など、毎週違うテーマでeラーニングを実施しています。これらはすべて必須教育になっているため、業務の合間を縫って、必ず修了させなければならない「恐怖」があります。社内で作成した専門講師による動画もeラーニングに組み込んでいますが、中身を見ず、映像を単に流すだけで修了しないよう、動画証跡機能を付けています。動画証跡機能とは、映像の何か所かにチェックタイムを設けておき、そこに映像が達したら、ボタンを押さなければならないというものです。チェックタイムはランダムで出力され、また何か所あるかも受講者には分からないようになっています。ゲーム感覚で「楽しく」受講できる反面、真剣に動画を見ないとボタンをクリックできず、修了できないという「恐怖」があります。

しかし、予定通りに修了できれば修了ポイントが付与され、最終的には給与にも反映されるという「楽しみ」も待っています。

情報セキュリティ研修教材_大手証券会社B社様

大手エンターテインメント会社C社様

数年前に大きな情報セキュリティ事故を起こしたこともあり、情報セキュリティ教育には非常に積極的なC社様。特に法令遵守に重きを置いた内容となっていて、A社様と同様、誓約書に「はい」をクリックしないと修了できないようになっています。

ただし、その他のeラーニングについては、エンターテインメント会社だけあって、楽しく学習できる工夫がたくさん盛り込まれています。

大手建設会社D社様

D社様の所属する業界では、これまで多くの不正や事故があったこともあり、コンプライアンス教育や情報セキュリティ教育への取り組みには、とりわけ注力しています。ただ、単に厳しさを追求するだけでは学習しないことも理解されていて、まずはeラーニングに慣れさせるために、ビジネスマナーをゲーム感覚で学習するという取り組みも実施しています。

事例をご紹介したお客様は、いたずらに「恐怖」のプレッシャーをかけているわけではなく、積極的な取り組みを促すための工夫の一つとして「恐怖」を取り入れています。情報セキュリティ教育という日常の業務から少し外れた内容の場合、人は得てして真剣さを失いがちです。「恐怖を取り入れる」ということは、真剣に取り組んでいただくための手段としてとらえていただけるとよいでしょう。

情報セキュリティ研修教材_大手建設会社D社様

  

情報セキュリティ研修教材_大手建設会社D社様

この取り組みにより、修了率は大幅に向上しました。

情報セキュリティ研修におすすめのeラーニング教材

情報セキュリティのイメージ

情報漏えいから組織を守る!「情報セキュリティ」対策コース

従業員一人一人が情報セキュリティに関する正しい知識を身につけられるeラーニングコースです。

「情報セキュリティのエッセンス」「ISMSのエッセンス」「情報セキュリティのエッセンス(サイバー攻撃対策)」等を学習し、セキュリティに関する基礎的な知識を網羅的に習得できます。

各社員のセキュリティ感度を上げ、事故を未然に防ぐことを目的としています。

カリキュラム

  • WEBのコンプライアンス ~SNSのモラルとルール 理解度テスト
  • 情報セキュリティのエッセンス(マルチリンガル対応)日本語目次
  • 情報セキュリティのエッセンス(サイバー攻撃対策)
  • ISMSのエッセンス

コース詳細:情報漏えいから組織を守る!「情報セキュリティ」対策コース

まとめ

本稿では、情報漏えいの実態と原因、その解決のカギについて見てきました。それらを踏まえ、情報セキュリティ対策のカギとなる教育について、効果的に行うためのポイントについてもまとめていきます。

  • 個人情報の漏えい事故について、漏洩した企業数と事故件数が、2018年以降、4年連続で最多を更新している。事故原因の大半は管理ミスや誤操作といった人為的ミスであった。
  • 情報セキュリティ対策についての各社の取り組み状況を見ると、社員への情報セキュリティ教育の不足が見えた。
  • 情報セキュリティ教育に充てられている予算はわずかである。

これらの実態を踏まえると、情報漏えい事故を未然に防ぐためのカギは情報セキュリティ教育であることが見えてきます。そこで、現状を大きく変えることなく実施可能で、効果を期待できる情報セキュリティ教育について提案してきました。ポイントを抑えることで、低予算でも効果的な教育は行えると考えます。

  • eラーニングを活用することで、予算面においても規模への対応においても、最も効果的、かつ効率的な教育が可能である。
  • 情報セキュリティ教育のポイントは「楽しさ」と「恐怖」にある。事例から見ても、eラーニングにこれらの要素を盛り込むことで、効果的な教育が期待できる。

インターネットが飛躍的に拡大した現代において、どこにどんな落とし穴が潜んでいるのかはとても把握しきれません。台帳を金庫にしまって鍵をかけておくというような対応では、致命的な事故を回避できない世の中になっているのです。EU(欧州連合)におけるGDPR(一般データ保護規則)の施行など、個人情報の重要度は増す一方なので、その取り扱いにはますます慎重な対応が求められてきます。

ぜひこの機会に、情報セキュリティ教育について考え、効果的な解決方法を探ってみてはいかがでしょうか。

[1] 事件・事故として、業務に支障を与えた事象(情報漏えい、破損、改ざん、不正アクセス、システム停止など)
[2] 異常値によって平均値が引きずられるのを排除するため、データの最大値と最小値付近の値を平均値の計算から除外する手法