情報セキュリティ対策が「定着しない」そんな時は

更新日：20 時間前

～中小の事業者様へ、PDCAアプローチに基づく改善のヒント～

投稿：舩生好幸（ISACA認定CISA、IPA登録セキュリティプレゼンター）2025.11.28

サイバー攻撃の被害が数多く報道される昨今、中小・零細企業を含む各事業者様が、情報セキュリティ対策を強化するため体制づくりやルール整備、設備導入などに取り組むことは、ますます重要になっています。

しかし一方では、体制を作り、情報セキュリティ基本方針を定め、ルールを制定し、と情報セキュリティ対策の運用を始めて何か月も経つのに社員の理解が深まらない、ルールが守られない。そんな悩みを抱える経営者の方は案外多いかもしれません。

この「定着しない問題」を改善するためのカギとして、ISO/IEC 27001:2022 に基づくISMS（情報セキュリティマネジメントシステム）の土台でもある、PDCA（Plan-Do-Check-Act）アプローチが役立ちます。

PDCAアプローチを踏まえ、皆様の組織に情報セキュリティ対策を定着させる、そんな改善のヒントを探ってみましょう。

〇Plan（計画）

PDCAアプローチのPlanに相当する対策＝情報セキュリティ基本方針や体制やルールの制定など、は、皆様の組織でも行われてきていることと思います。

これらはもちろん重要かつ不可欠ですが、組織のメンバー一人一人に「なぜこれらの対策が必要なのか」を説明でき、理解してもらうことも非常に重要です。

Planのフェーズでは、情報漏洩の起こりやすい業務内容やサイバー攻撃を受けやすい業務やタイミングなど、情報セキュリティ上のリスクを明らかにして、メンバー一人一人に情報セキュリティ対策が「自分たちの仕事を守るために必要なこと」だと理解してもらうことが重要です。

納得してもらうことで個々のメンバーにとって初めて情報セキュリティ対策が「自分ごと」になります。

（ご参考ブログ）

〇Do（実行）

日々の情報セキュリティ対策の実行フェースです。

例えば情報セキュリティに関する教育・訓練や周知は、一度説明して終わり、では効果が出ない・知識や技能が身に付かないことも多いです。

毎週のミーティング中で短時間の勉強会を頻度を高めに実施したり、普段の業務の中で実際に起こり得るシナリオに基づく情報セキュリティ対策の演習の実施（実地、もしくは机上でも）など、継続的で実践的な取り組みが行えるかがポイントになると思います。

（ご参考ブログ）

また経営者の方は、日頃より自身が率先してルールを守る姿勢を周囲に示すことが、組織文化をつくるうえで非常に重要であることも、改めて認識していただきたいポイントです。

〇Check（確認）

Checkのフェーズでは、内部監査、それが大げさと感じられるのでしたら簡易的な遵守状況チェックやヒアリングを各職場でも行い、その時点における情報セキュリティ対策の理解度や遵守状況を明確にします。

（ご参考ブログ）

対策の理解度や遵守状況の不十分な職場やメンバーが存在するなら、その原因は理解不足なのか、ルールが現場の実情に合っていないのか、冷静かつ客観的に確認しましょう。この点を明確にしない限り、現場に情報セキュリティ対策は定着しないでしょう。

〇Act（改善）

先のCheckフェーズで明らかになった課題や問題点をもとに、情報セキュリティ対策を構成する要素（方針、ルール、体制、教育、等)に必要な改善を加えます。

このフェーズでも、経営者の方の判断やリーダーシップは重要です。

特に、小規模な事業者様では無理のない取り組みであることが成功のポイントになると思われます。

また、一度に全部の問題点を改善できない場合は、重要度や緊急度の高い内容から優先して取り組みを進めます。

また、結果的に先送りせざるを得なかった課題や問題点は埋もれてしまわぬよう、

「課題管理簿」のような文書に、達成を目指す期限と共に明記し、管理してゆきましょう。

〇まとめ

情報セキュリティ対策は、一度整備したら終わりではなく、改善のサイクルを回し続けることで組織に根づきます。

PDCAアプローチを活用しつつ、経営者様自らが積極的に情報セキュリティ対策をリードすることで、組織のメンバーの意識は確実に変わっていきます。

組織、情報資産そして関係する皆様を守るためにも、PDCAアプローチをご活用ください。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

最新記事