組織の情報セキュリティ目標に各社員が積極的に取り組むために

～社員個人の業務目標や業務計画とリンクさせましょう～

投稿：舩生好幸（ISACA認定CISA、IPA登録セキュリティプレゼンター）2025.6.23

組織の情報セキュリティ方針やそれを踏まえた情報セキュリティ目標（目的）を社員の皆様に自分事として積極的に取り組んでもらうため、よく行われているのは、

社員個人の年度の業務目標や業務計画に、情報セキュリティ目標にリンクした内容を盛り込むことをルール化することです。

〇例・組織の情報セキュリティ目標とそれを踏まえた社員個人の目標

たとえば、組織の今年度の情報セキュリティ目標に、「情報漏洩事故0件を維持する」という内容があれば、

社員の方はそれを受けて、「情報漏洩事故防止のため、電子メール送信前には宛先確認を３度行うことを徹底する。」といった個人の目標を設定する、等が考えられます。

また、「四半期に1回以上、情報セキュリティについて学習する機会を設ける」という組織の目標を受けて、

「当グループにおいては4月・7月・9月・1月に情報セキュリティ勉強会を開催する。理解の状況は勉強会の中で実施する理解度テスト結果にて確認・報告する。」と目標設定をする社員、或いは作業グループが考えられると思います。

また、「組織の文書・資料には情報の分類を明記する」という情報セキュリティ目標では、「文書・資料のリリースに際し、表紙への情報分類の明記を含め、管理者の点検・承認を経たうえで行う。」といった社員個人の作業計画の設定、或いは社内ルールが設定されるかもしれません。

〇社員一人一人が自分事として遵守・実行することの大切さ

経営者などトップマネジメントによるリーダーシップの下、組織の情報セキュリティ方針やそれを踏まえた情報セキュリティ目標（目的）を設定することは組織の情報セキュリティの仕組み＝情報セキュリティマネジメントシステム（ISMS）構築の重要要件です。

（ISMSは第三者認証の有無にかかわらず、組織に構築できるものです。）

そして、情報セキュリティ方針や情報セキュリティ目標を社員の皆様一人一人が自分事として積極的に取り組んでいただくことで、組織の情報セキュリティの仕組み＝ISMSは「血の通った」仕組みとして活動を開始するのです。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

最新記事