まーたまには仕事柄に関するネタで毒を吐いてみる。
よく、個人情報保護法やPマーク、ISMS取得に関しては、その条件というか、必ず入っているのが、組織に所属する人たちへの教育が実施されているかどうか?なんて項目がある。
教育の仕方にはいろいろあるが、中には立派なEラーニングで作りこんだものから、掲示板的なもの、ちょっと進んでWebラーニング的なものと様々あるが、問題はその問いかけが、適切か?ということになる。
仕組みは立派でも、その問題の作り手が意図することを理解できない問題を作るケースが多いように
思われてならない。たとえば、○○をしてはいけない。。とかこれは正しいのか?といった
選択問題によくこうした傾向が見られる。
何故、その行動や、動作が問題になるのかは、よくよく考えれば理解はできるのであろうが、そのリスクを
把握することは、問題を解く側にとっては難しいことがよくある。
挙句の果てに、社内でこうした規定になっているからといった感じで、受講させる側がナビゲートしているようで実は、本当にはナビゲートはされていないのだ。
責任を自分たちではなく、ルールーにこう書いてあるからといった形で、文書に押し付けているようなナビゲートが多いのではないだろうか?
自分たちが作ったルールであれば、それを周知徹底するのは、結構だが、みなが同じ理解をしているという前提にたった推進方法は、必ず破綻する。
システムで守りきれないとき、唯一の人のセキュリティ意識が最後の砦なのだが、結果的には事故は起きるものであるので、そのときにちゃんと教育してました。我々には責任がありません。理解せずにやった本人の責任ですって言うための形式的なことを毎回やらされる側に立ってもう少し考えて見てもいいんじゃないのかと思う。特に組織内で推進する側の人たちは・・・・
よく、個人情報保護法やPマーク、ISMS取得に関しては、その条件というか、必ず入っているのが、組織に所属する人たちへの教育が実施されているかどうか?なんて項目がある。
教育の仕方にはいろいろあるが、中には立派なEラーニングで作りこんだものから、掲示板的なもの、ちょっと進んでWebラーニング的なものと様々あるが、問題はその問いかけが、適切か?ということになる。
仕組みは立派でも、その問題の作り手が意図することを理解できない問題を作るケースが多いように
思われてならない。たとえば、○○をしてはいけない。。とかこれは正しいのか?といった
選択問題によくこうした傾向が見られる。
何故、その行動や、動作が問題になるのかは、よくよく考えれば理解はできるのであろうが、そのリスクを
把握することは、問題を解く側にとっては難しいことがよくある。
挙句の果てに、社内でこうした規定になっているからといった感じで、受講させる側がナビゲートしているようで実は、本当にはナビゲートはされていないのだ。
責任を自分たちではなく、ルールーにこう書いてあるからといった形で、文書に押し付けているようなナビゲートが多いのではないだろうか?
自分たちが作ったルールであれば、それを周知徹底するのは、結構だが、みなが同じ理解をしているという前提にたった推進方法は、必ず破綻する。
システムで守りきれないとき、唯一の人のセキュリティ意識が最後の砦なのだが、結果的には事故は起きるものであるので、そのときにちゃんと教育してました。我々には責任がありません。理解せずにやった本人の責任ですって言うための形式的なことを毎回やらされる側に立ってもう少し考えて見てもいいんじゃないのかと思う。特に組織内で推進する側の人たちは・・・・