これからは“情報漏えい対策に補償”という考え方もあり？：NANAROQが補償付きコンプライアンス教育パッケージ

「情報漏えいに対する補償付きセキュリティ教育ゲーム」という手法で企業のセキュリティレベルを上げようと試みている企業がいる

[大津心，ITmedia]

　ベネッセコーポレーションで最大2070万件規模の情報漏えい事故が発覚した。同事件は内部犯行で、持ち込みスマートフォンによる持ち出しだったという。同社では、個人情報の閲覧制限や持ち出し制限など、一定レベルの対応はしていたと言われているが、それでも防ぐことはできなかった。では、どうすれば良かったのだろうか。

　今回のベネッセのケースのように、情報漏えい事件が起きると、ルールやツールの話に行きがちだ。「○○というツールを入れていれば防げた」や「監視が甘かったから起こった」などなど。一方で、漏えいを起こす社員をきちんと“教育することで漏えいリスクを低減しよう”と試みるアプローチも有効だ。「ツールやルールの穴を探して持ち出そう」という考えをそもそも起こさないような教育を実施することで、根本的な原因を減らそうという考え方だ。

　このような考え方で、コンプライアンスやセキュリティに関するeラーニングを実施する企業は多い。しかし、一般的な文字によるeラーニングは“やらされている感”が強く、モチベーションが上がらないのも事実だ。ここでは、“ゲーム型コンプライアンス教育パッケージ”という新しいアプローチでセキュリティ対策のレベルアップを試みるNANAROQのケースを紹介する。

「どうやったら、eラーニングを本気で受けて貰えるのか？」を考えた結論

NANAROQ マネージャー 深井翠氏

　NANAROQが提供するゲーム型教材「シンプラZ」は、社員がモチベーション高く受けることが少ないeラーニングを、ゲーム型にすることで効果を高めるべく開発されたものだ。ゲームはいわゆるクイズ解答方式でコンプライアンスに関わる質問に答えていき、遊びながら学べるのが特徴だ。ゲームはブラウザを使ってクラウド上で実施し、その結果はまとめて担当者へレポートされる。

　シンプラZの責任者を務めるNANAROQ マネージャー 深井翠氏は、「従来のeラーニングは、やらされている感が強く、内容も面白くないため面倒くさかった。これでは、教育効果も上がるわけがない。そこで、教育効果を高く学んでもらうために“ゲームをしながらセキュリティを学ぶ”という視点に至った。ゲーム形式にしたことで、楽しみながら学習できる。管理者視点で考えても、クラウドで提供するため、簡単に導入・管理できる点も特徴だ」と説明する。

シンプラZの画面イメージ

　ゲームはテーマごとにタイトルが分かれており、必要なタイトルを選択可能だ。現在は「コンプライアンス」に関するゲームが提供されているが、今後「情報漏えい対策」「標的型攻撃」「フィッシング対策」などを随時追加していく予定。

近日リリース予定の「情報漏えい編」の画面イメージ

　「ゲームはイラストからゲームまで、すべて自社で制作している。自社制作で進めているので時間のロスも少なく、ハイペースで新作を出していけるはず」（深井氏）

“セキュリティに補償を付ける”という発想

　上記で紹介した「シンプラZ」に、新たに情報漏えい補償付きのプランが加わった。これは、「シンプラZで勉強した従業員による情報漏えい事故が発生してしまった場合、その事故に関する損害を最大で1億円補償する」というもの。

　価格は補償無しの場合、価格は100ユーザーまでの場合で3万円（税抜き）だが、補償付きの場合には、価格は100ユーザーまでの場合で6万円と3万円高い。

　NANAROQ 代表取締役社長兼CEO 佐々木慈和氏は、「いままでセキュリティ関連製品に補償付きのものはなかったと思う。当社では、セキュリティに関する教育サービスを提供する以上、それを受講した社員が起こした事故について補償していきたいと考え、今回のプランを作成した。このように、補償があることで、セキュリティサービスやセキュリティ製品を導入する意義や意味が多少は上がるのではないか。今後、このようなセキュリティ製品が増えることで、経営者としても投資しやすい環境になってほしい」と補償付き製品作成への背景を語った。