情報セキュリティ対策が「定着しない」そんな時は

～中小の事業者様へ、PDCAアプローチに基づく改善のヒント～

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2025.11.28

（更新：2026.1.16）

サイバー攻撃の被害などが日々報道される昨今、中小の事業者様や個人事業主様も、情報セキュリティ対策に取り組むことは重要になっています。

しかし一方、

「体制を作り、基本方針やルールを制定し、情報セキュリティ対策の運用を始めてみたものの、社員の理解が深まらない、ルールが守られない。これでは情報セキュリティ対策が定着したとは言えない。」

そんな悩みを抱える経営者の方は案外多いかもしれません。

「定着しない問題」を改善するために、ISO/IEC 27001情報セキュリティマネジメントシステム（ISMS）の土台でもある、PDCA（Plan-Do-Check-Act）アプローチが役立ちます。

PDCAアプローチの4つのフェーズ（or段階）を踏まえて、組織に情報セキュリティ対策を定着させるための、改善のヒントを探ってみたいと思います。

〇Plan（計画）

PDCAアプローチのPlanに相当する取り組み――推進体制整備や情報セキュリティ基本方針及びルール制定など――は、皆様の組織でも行われてきていることと思います。

これらはもちろん重要で不可欠ですが、同時に、経営者を筆頭とする推進側からは、

組織のメンバーに対して「なぜこれらの対策が必要なのか」をわかりやすく説明し、理解し納得してもらうことも非常に重要です。

個々のメンバーにとっては、組織に取り入れられる情報セキュリティ対策を理解し納得できて初めて、「自分ごと」になるからです。

この説明では、

・情報漏洩の起こりやすい業務やそのタイミング

・サイバー攻撃を受けやすい業務やそのタイミング

など、情報セキュリティ上のリスクや、各メンバーにとって不利益となる事実を現場の実例を踏まえて明らかにします。そして、

取り入れようとしている情報セキュリティ対策によって、これらのリスクや不利益につながる事柄が解消もしくは緩和される点も明確にします。

情報セキュリティ対策が「自分達や日々の仕事を守るために必要」であることを理解し納得してもらうことが重要です。

理解し納得が得られなければ、各メンバーから協力が得られません。

面倒に思われるかもしれませんが、手を抜くことのできないポイントです。

（ご参考ブログ）

・組織の情報セキュリティ目標に各社員が積極的に取り組むために

〇Do（実行）

日々の情報セキュリティ対策の実行フェースです。

情報セキュリティ対策を理解してもらうための説明や教育訓練は、一度実施しただけでは各メンバーに必要な知識・技能が身に付かないことも多いです。

必要なルールや知識・技能などは日常の業務の中で繰り返し伝える、繰り返しトレーニングができるようにしておくべきです。

職場ミーティングの中で、

・導入された情報セキュリティルールに関する10分～15分程の短い勉強会を毎週実施。

・業務中に起こり得る情報セキュリティ事故の予防策の30分程度の演習（実地、もしくは机上でも）を1～3か月ごとに開催。

など、継続的で実践的な取り組みが行えるかがポイントになると思います。

（ご参考ブログ）

・情報セキュリティ教育を実施しよう

・おすすめ：IPAの「映像で知る情報セキュリティ」

また経営者の方は、日頃より自身が率先してルールを守る姿勢を周囲に示すことが、組織文化をつくるうえで非常に重要であることも、改めて認識していただきたいポイントです。

〇Check（確認）

Checkのフェーズでは、内部監査、それが大げさと感じられるのでしたら遵守状況チェックやヒアリングを全職場にて行い、その時点における情報セキュリティ対策の理解度や遵守状況を明確にします。

（ご参考ブログ）

・情報セキュリティの内部監査

・お勧めします「5分でできる！情報セキュリティ自社診断」

内部監査／チェックは、実施して終わりではなく、その結果を、経営者様を筆頭とする情報セキュリティ対策の推進側ですべて集約しましょう。

これらは情報セキュリティ対策の実施状況を示す貴重な情報であり、続くActのフェーズへのインプット情報です。

対策の理解度や遵守状況の不十分な職場やメンバーが存在するなら、その原因は理解不足なのか、ルールや対策が現場の実情に合っていないのか、冷静かつ客観的に確認しつつ、不備事項を解消・改善しましょう。

〇Act（改善）

Checkフェーズで明らかになった課題や問題点をもとに、情報セキュリティ対策を構成する要素（方針、ルール、体制、教育、等)に必要な改善を加えます。

このフェーズでも、経営者の方の判断やリーダーシップは重要です。

特に、リソースに制約のある小規模な事業者様では、無理のない取り組みであることが必須です。

一度に全部の問題点を改善できない場合は、重要度や緊急度の高い内容から優先して取り組みを進めます。

また、結果的に先送りせざるを得なかった課題や問題点は埋もれてしまわぬよう、

「課題管理簿」のような文書を用意し、達成を目指す期限と共に明記し、管理してゆきましょう。

〇まとめ

情報セキュリティ対策は、一度整備したら終わりではなく、改善のサイクルを回し続けることで組織に根づきます。

PDCAアプローチを活用しつつ、経営者様がリーダーシップをとり、組織に情報セキュリティ対策の推進を働きかけることで、組織のメンバーの意識は確実に変わっていきます。

組織、情報資産そして関係する皆様を守るために、PDCAアプローチをご活用ください。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

詳しくはこちらよりお入りください。