組織の情報セキュリティ目標に各社員が積極的に取り組むために

～社員個人の業務目標や業務計画とリンクさせましょう～

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2025.6.23

（更新：2025.9.30）

〇社員一人一人に「自分事」として取り組んでもらうために

組織の情報セキュリティ方針やそれを踏まえた情報セキュリティ目標（目的）を社員の皆様に自分事として積極的に取り組んでもらうため、よく行われているのは、

社員個人の年度の業務目標や業務計画に、情報セキュリティ目標にリンクした内容を盛り込むことをルール化することです。

〇例・組織の情報セキュリティ目標とそれを踏まえた社員個人の目標

たとえば、組織の今年度の情報セキュリティ目標に、「情報漏洩事故0件を維持する」という内容があれば、

社員の方はそれを受けて、「情報漏洩事故防止のため、電子メール送信前には宛先確認を３度行うことを徹底する。」といった個人の目標を設定する、等が考えられます。

また、「四半期に1回以上、情報セキュリティについて学習する機会を設ける」という組織の目標を受けて、

「当グループにおいては4月・7月・9月・1月に情報セキュリティ勉強会を開催する。理解の状況は勉強会の中で実施する理解度テスト結果にて確認・報告する。」と目標設定をする社員、或いは作業グループが考えられると思います。

また、「組織の文書・資料には情報の分類を明記する」という情報セキュリティ目標では、「文書・資料のリリースに際し、表紙への情報分類の明記を含め、管理者の点検・承認を経たうえで行う。」といった社員個人の作業計画の設定、或いは社内ルールが設定されるかもしれません。

〇期中の管理・期末の評価・次期に向けての目標の見直し

設定した目標は通常の業務目標と同様、期中には計画に沿った作業実施や、状況確認そして突発的事象があれば対処などを行い、目標達成を目指します。

上期末や年度末の時期には実績をまとめ、設定目標に対する達成度の評価を行います。

そして下半期や次期に向けて、必要であれば目標の見直しを行い、情報セキュリティ目標が社員個人や組織に即した内容であることを確実にします。

〇社員一人一人が自分事として遵守・実行することの大切さ

経営者などトップマネジメントによるリーダーシップの下、組織の情報セキュリティ方針やそれを踏まえた情報セキュリティ目標（目的）を設定することは組織の情報セキュリティの仕組み＝情報セキュリティマネジメントシステム（ISMS）構築の重要要件です。

（ISMSは第三者認証の有無にかかわらず、組織に構築できるものです。）

そして、情報セキュリティ方針や情報セキュリティ目標を社員の皆様一人一人が自分事として積極的に取り組んでいただくことで、組織の情報セキュリティの仕組み＝ISMSは、文字通り「血の通った」仕組みとして機能するようになります。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

詳しくはこちらよりお入りください。