Date:2024/5/31
こんにちは、ワールドワイドです。
デジタル社会の進展やDX推進に伴い、ビジネス業界におけるIT技術への依存度はますます高まっています。
裏を返せば、自然災害、サイバー攻撃、システム障害、停電等の様々な要因による
「情報システムの停止」が
「業務停滞」に直結することを意味します。
また、第三者によるサイバー攻撃や内部不正による情報漏えいが頻繁に報道されており、
個人情報の取扱いに関する世間の関心も高まってきているところです。
【個人情報の取扱いに関する課題意識】
一方で、内閣府外局の個人情報保護委員会が
従業員の数100人以下の中小規模事業者を対象に実施した
「中小規模事業者の安全管理措置に関する実態調査」(令和5年8月9日公表) によると、
個人情報の取扱いに関する課題について
「何をしてよいか分からない」
「個人情報保護法等(ガイドラインを含む)の理解不足」
との回答がそれぞれ約4割にも上り、
個人情報への関心はあるものの、実際の取扱い方法が分からない
という実態が浮き彫りになっています。
これはどの企業様にとっても、決して他人事ではありません。
【事例を理解する】
情報システムの機能停止時(インシデント発生時)は、
いかにその影響を最小化し、迅速に業務を復旧させるかが重要な課題となります。
・勤怠システムが停止する中で給与計算をしなければならないとき
・自身の事務所で使用しているクラウドサービスがサイバー攻撃を受けたとき
-情報セキュリティ責任者(事務所代表者等)が対応すべきポイント
-事前の備えについて
・標的型攻撃メールの対応について
このような事例について研修を行うことは非常に有効だと言えるでしょう。
【標的型攻撃メール訓練の事例】
例として、社労士事務所等を対象に実施した、標的型攻撃メール訓練の結果概要をご紹介します。
不審メールは、受信者に偽のメールと悟らせないために「送信元情報」に様々な偽装を行います。
例えば、見かけ上の「送信元表示名」と「送信元メールアドレス」は、任意に設定して送信できてしまいます。
送られてきたメールの「送信元情報」から、本物か偽物かを判断することは極めて困難です。
最近はメールサーバーのセキュリティレベルが上かってきており、
不審メールは自動的に削除されるケースが多くなっていますが、
システム面での防御には限界があり、
最終的には「信頼せず、公式サイトなど確かな情報源を使って真偽を判断する」という、
受信者自身のITリテラシー(理解・活用・能力)と情報セキュリティ意識が必要となってきます。
また、不審メール受信時の対処ルールを知っているだけの場合と、
訓練を通じて実際に体験したことがある場合とでは、いざ不審メールを受信した時の行動に大きな違いが生じます。
【訓練結果】
令和6年の訓練は2回に分けて行われましたが、
1回目の訓練メール開封者は321人、2回目の訓練メール開封者は148人と、大幅に減少しました。
また、訓練後のアンケートによると、回答者の約8割が
「メールは開かず、すぐに削除した」
「メールは開いたが、本文中のURLをクリックしたり、添付ファイルを開いたりはせず、削除した」
と回答しています。
さらに、メールを削除した理由として
「周囲の人に不審なメールが来ていると教えてもらったから」
という回答もあり、訓練に参加した事務所の多くは、
組織全体で情報セキュリティ意識が高くなっていることがうかがえます。
【日頃の備え、定期的な教育・訓練、セルフチェックを】
ITリテラシー(理解・活用・能力)と情報セキュリティ意識は、
日頃の備え、定期的な教育・訓練、セルフチェックを継続することで初めて実現します。
企業で事務や労務を担当する皆様におかれましては、
ぜひ自社体制の整備を図るとともに、標的型攻撃メール訓練等を通じて、
企業及び従業員の皆様の安心を支え、企業の発展につなげていきましよう。
【DX化とITリテラシーについて不安がある企業様は】
前述の個人情報保護委員会調査によると、個人情報の管理にあたり参考にしているものとして、
「法律・ガイドライン」(約6割)に次いで「弁護士や税理士、コンサルティング業者への相談」(約3割) となっており、
そのうちの約4割が私たち社労士に相談しているとの結果が出ています。
弊社は社労士として、自身の事務所内の対策を行うだけでなく、
顧問先企業に対しても適切なアドバイスを行うよう常日頃より心がけています。
DX化のご相談や顧問契約に関するご相談は弊社HPよりお問い合わせください。