弊社は情報セキュリティの会社ということもあり、入社時には「離席時にはPCを必ずロックしましょう」「パスワードは必ず20ケタ以上で設定しましょう」といった具合に、セキュリティ対策に関して色々と指導を受けます。

しかし、最近は様々なバックグラウンドを持つ人がたくさん入社してきていることもあり、なかなか足並みを揃えるのは難しいです。

そこで弊社では、少しでも従業員ごとのセキュリティ意識の差を埋めるため、4年前から続けている取り組みがあります。それが社内で「セキュリティパトロール」と呼ばれるものです。

セキュリティパトロールとは？

要するに、簡易的な内部監査のようなものです。各オフィスにそれぞれセキュリティパトロール担当者が1名おり、月に1度、従業員が社内ルールに則ってセキュリティ対策をおこなえているか確認してまわります。

• デスクトップのアイコンは1列で収まっており、不要なショートカットファイルはないか
• PCにインストールされているソフトウェアは最新バージョンになっているか
• スマホにメッセージが届いた際、ロック画面に業務情報などが表示されないような設定をしているか
• パスワードを使いまわしていないか

上記のような15個ほどの質問項目が用意されており、従業員はそれぞれランダムに3つほどを質問されます。なお、入社したばかりの従業員は、最初のセキュリティパトロールの際、特別に15問すべてを質問されます。

セキュリティパトロールのメリット

最初はぬるっとノリで始まった取り組みだった気がするのですが、ISMS事務局側の人間として、これはかなり効果的な取り組みだと感じています。

セキュリティパトロールの結果は、毎月開かれるISMS事務局のMTG(社内ではMS会議と呼ばれます)の場で確認されるのですが、その場では

「この質問はいつもたくさんの人が☓(NG)をくらっているので、改めて全社会議の場でルールを周知し直しましょう」

「ルールが実態に則していないかもしれないので、見直してみましょう」