今回も本ブログをご覧いただき、ありがとうございます。
弁護士・税理士の鳥光でございます。
今回は情報セキュリティに関するお話の16回目となります。
前回に引き続き、顧客情報など機密性の高い情報を外部の事業者等の管理下に保管する場合に、相手となる事業者等に提示すべきセキュリティ要件のうち、人的な側面に関するものについて説明します。
2つめの人的要件は、機密情報に携わる従業員等のセキュリティリテラシーです。
一般的には、システムの開発や保守運用に関わる従業員は、ある程度のセキュリティリテラシーを有していると考えられます。
しかし、ネットワーク技術者なのか、アプリケーションエンジニアなのかといった、取り扱い分野によってセキュリティリテラシーの程度は変わることはあります(セキュリティリテラシーが高い分野とそうでない分野がある)し、入社して間もない方と長年業務にあたっている方とでもセキュリティリテラシーのレベルは違うと考えられます。
IT技術者でない従業員も機密情報を扱う可能性がある場合には、よりセキュリティリテラシーレベルを一定以上のものに保つことが重要となります。
そこで、機密情報に携わるすべての従業員等に対するセキュリティ教育を施し、全員が一定程度以上のセキュリティリテラシーを有するようにしていることを要件とすることが考えられます。
