このステップで最初に行うことは、社員への教育です。せっかく規程を作成しても、社員への教育を行わなければ無用の長物となってしまいます。きっちりと社員に教育を施して周知徹底を図ることで、初めて対策が有効になるのです。

集合研修の実施

具体的には、すべての社員を集めて1時間程度の研修会を開催します。そして、すべての社員に行ってもらいたいセキュリティ対策を中心に説明します。

研修会の最後に、その日に説明した内容が正しく理解できているかをチェックするための小テストを実施し、理解度を確認します。

ここでのポイントは、「難しいことではない」ということを社員に知ってもらうことです。「こんなに簡単でいいの?」と思わせるぐらい説明内容やテストの内容を簡単なものにして、まずは社員をその気にさせることが重要です。次年度以降、少しずつ難しい内容を含めるようにしながら、徐々に社内にセキュリティへの意識を浸透させるようにしてください。

運用の開始

社員への教育が終わったら、実際に情報管理体制の運用を開始します。運用は主に「物理的セキュリティ対策」と「技術的セキュリティ対策」に分類できます。

■物理的セキュリティ対策
・業務上の情報を取り扱う領域に関する入退館(室)管理
・ノートPC、USBメモリ、CD-R、書類などの持ち出し・持ち込みの制限
・機器・装置などの漏水、火災、停電からの保護
・ノートPC、USBメモリ、CD-R、書類などの盗難の防止策
・文書の廃棄時のシュレッダーの使用
・ハードディスク、USBメモリ、CD-Rなどを廃棄する際のデータ完全消去

■技術的セキュリティ対策
・個人単位のIDの発行、推測されにくいパスワードの使用と定期的な変更
・業務上必要なIDだけにアクセス権限を与える制御
・アクセスの記録を残す
・ウイルス対策ソフトの使用、定期的な更新
・OSやソフトのセキュリティパッチの適用
・データ移送の際の安全対策
・電子メールなどでデータ送信する際の暗号化
・Webサイトで個人情報を取得する際の暗号化
・システムテスト時に本番データを使用しない対策化 ・システムの動作状況の監視化

これらの内容について、できるところから実施していきましょう。