DX時代の情報資産管理ポータルサイト

当サイトについて 運営会社 サイトマップ
カテゴリ
タグ
  1. TOP
  2. 電子文書管理の基礎知識
  3. 対策基準「人的セキュリティ」
電子文書管理の基礎知識

対策基準「人的セキュリティ」

リスクマネジメント 文書管理 電子文書 情報セキュリティ 情報資産管理 情報セキュリティ対策
  • シェア
  • LINEで送る
  • このエントリーをはてなブックマークに追加
2026/02/16
対策基準「人的セキュリティ」
対策基準に規定する管理策は、「物理的セキュリティ」「技術的セキュリティ」「人的セキュリティ」の3つに大別されます。今回は、組織や情報システムの人的な運用管理面における管理策全般を指す「人的セキュリティ」について詳しく解説します。

目次

人的セキュリティとは

「人的セキュリティ」とは、組織や情報システムの人的な運用管理面における管理策全般を指します。具体的には、情報セキュリティポリシーの策定・運用・監査・見直し、ポリシー違反の懲戒手続き、教育・訓練、セキュリティ事件・事故及び誤動作への対処、機密保持契約などが該当します。

遵守事項

社員の遵守事項

情報漏えい事案の多くが、社員などの過失または故意による規定違反から生じています。社員が情報資産を不正に利用し適正な取り扱いを怠った場合、ウイルス感染や情報漏えいなどが起こりやすくなります。そのため、情報セキュリティポリシーの遵守や、情報資産の業務以外の目的での使用禁止など、社員が情報資産を取り扱う際に遵守すべき事項を明確に規定します。以下の対策などが挙げられます。

  1. モバイル端末の持ち出しや、外部で情報資産を取り扱う場合は、許可制とする。
  2. 自宅や社外での情報処理作業においては支給された端末を使用することとし、支給以外の端末の使用は原則禁止とする。
  3. パソコン、モバイル端末及び電磁的記録媒体の持ち出しや持ち込みについては、現状把握や資産管理のためにこれを記録する。

契約社員及び派遣社員への対応

採用時に情報セキュリティポリシーのうち遵守すべき内容を理解させ、必要に応じて情報セキュリティポリシー遵守の同意書への署名を求めます。また、パソコンやモバイル端末の機能のうち、業務内容に応じて不必要な機能は制限します。

外部委託事業者への対応

外部に情報システムの開発及び運用管理を委託する場合は、契約の遵守を求め、委託の業務範囲に従って、情報セキュリティポリシーや実施手順に関する事項を説明します。

研修・訓練

情報セキュリティインシデントの多くが、社員などの規定違反に起因しています。情報セキュリティを適切に確保するためには、情報セキュリティ対策の必要性と内容を経営陣含め全ての社員などが十分に理解していることが必要不可欠です。情報セキュリティの向上と利便性の向上は相容れないことが多いため、業務が優先され情報セキュリティ対策が軽視されることもあります。
また、情報セキュリティに関する脅威や技術の変化は早く、社員は常に最新の状況を理解することが必要です。そのため、社員に対して情報セキュリティ研修・訓練を定期的に行う必要があります。

以下の管理策などが挙げられます。

  1. 情報セキュリティに関する環境変化は早いことから、毎年度最低1回は、全ての社員を対象に研修を行う。理解度測定並びに理解度向上を目的に、研修時の終わりに「テスト」を実施するとさらに効果的である。
  2. 研修内容は、情報セキュリティ監査の結果や社外での情報セキュリティインシデントの発生状況などを踏まえ、継続的に更新する。
  3. 新入社員に対しては、採用時に情報セキュリティ研修を行い、情報セキュリティの重要性を認識させる。
  4. 情報漏えいなどの情報セキュリティインシデントが発生した場合に、即応できる態勢を構築しておくため、緊急時を想定した訓練を定期的に実施する。

情報セキュリティインシデントの報告

社員は、情報セキュリティインシデントを認知した場合に、自らの判断でその解決を図るのではなく、速やかに管理者に報告してその指示を仰ぎます。被害を拡大しないためにも、報告ルート及びその方法を事前に定めておきます。
また、情報セキュリティインシデントの原因を究明し効果的な再発防止策を検討するために、発生した部門の情報セキュリティ管理者は、発生から対応までの記録を作成し保存しておきます。

ID及びパスワードの管理

情報システム管理者によるID・パスワードの発行から、社員における管理に至るまで、人的な原因での情報漏えいリスクを最小限にとどめる必要があります。

  1. パスワードは、他人に知られないように管理する。
  2. パスワードを秘密にし、パスワードの照会などには一切応じない。
  3. パスワードは十分な長さとし、文字列は想像しにくいものにする。
  4. パスワードが流出したおそれがある場合には、情報セキュリティ管理者に速やかに報告し、パスワードを速やかに変更する。
  5. パスワードは定期的に、またはアクセス回数に基づいて変更し、古いパスワードを再利用しない。
  6. 複数の情報システムを扱う社員は、同一のIDやパスワードをシステム間で用いない。
  7. 仮のパスワードは、最初のログイン時点で変更する。
  8. パソコンなどの端末にパスワードを記憶させない。
  9. 社員間でIDやパスワードを共有しない。

まとめ

本記事では、情報セキュリティ対策基準の管理策「人的セキュリティ」を解説しました。
「物理的セキュリティ」について詳しく知りたい方は「物理的セキュリティ」、「技術的セキュリティ」について詳しく知りたい方は「技術的セキュリティ」をご覧ください。

日本レコードマネジメントでは、電子文書管理の専門知識と豊富な経験を活かし、お客様のニーズに合った電子文書管理の体制を構築、提供いたします。お気軽にお問い合わせください。

本記事は、当社広報室にて発信しています。

関連キーワード

リスクマネジメント 文書管理 電子文書 情報セキュリティ 情報資産管理 情報セキュリティ対策
電子文書管理の基礎知識

関連記事

 

おすすめ記事  

もっと見る

 

タグ

もっと見る