(ISMS) 教育と周知の違い
人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混同することにより適切な施策が取られないなら改めて基本に戻って理解を確認しておきたい。
周知
目的とする人に 必要なことがら(周知内容)を知らしめること。内容と対象とする人によって手段は様々。新しい概念・新しい知識などを含む場合は、周知の一環として教育が必要になる。
周知対象者の知識・経験のレベルが一様でないから、誰に追加の教育が必要かを見極めるのが難しいケースもある。無手勝流の企業はなんだかんだ理由をつけて全員に教育を行う。無駄であるし、モチベーションが下がる。企業がISMSで失速する原因の一つです。網羅性という言葉に弱い事務局の要注意。
教育
能力、力量、意識などを目的に沿って変えること。期間、方法は達成レベルに応じて様々。
言えば分かるようにするのが教育。正しく理解して正しく実行できるようにするのが教育。ルール改正でも大きく変わる場合は教育が先ず必要。それをメールとか通知とかの周知の手段で済ますのは適切でない。「何度言っても分からない連中が居る」と事務局が口にしたら正に天唾。教育と周知を混同して進めてきた結果でしかないからだ。
教育にも色々ある。新しい概念、新しい方法論。作業をしてもらうには訓練まで必要。うっかりとか凡ミスを繰り返すような場合は躾(しつけ)・懲戒の領域まで視野に入れる必要がある。怖いね。でも、誰かのうっかりで社員が路頭に迷う羽目になるリスクを考えたら無視も出来ない。
要は単なる周知で済ますことが出来るかどうかの見極めが必要だと言うこと。
周知情報・通知内容を受け止めるだけの素地が無ければ周知は実現しない。
.*.
教育は力量の確保が主眼であるのに対して、周知は必要な人全てに対する網羅性が主眼になる。教育の記録は、要件(求める力量)と結果(達成した力量)が基本。方法論の有効性を測る記録についても留意しなければいけない。周知の記録は対象と方法と周知確認の記録となる。いずれの場合も、内容の重要度に応じて経済合理性も考慮して決定すれば良い。
.*.
繰り返す。周知の問題か教育の問題か正しく理解していないと正しい対策が打てない。
教育で先手が打てない企業・部門は、後追いの教育に追いまくられて勢いを失う。
.*.
