教育

45

46

より受講者の理解度を把握したり、受講者にアンケートを記入してもらったりするこ とで、次回開催のテーマや現在の教育方法等についての改善を検討することも考えら れる。

なお、情報セキュリティ関係部署の者や CYMAT 及び CSIRT に属する職員に対し て、情報セキュリティに関する知識及び技能を向上させるため、研修及び実務を模擬し た訓練を実施することも有効である。訓練内容や実施結果の評価等について、最高情報 セキュリティアドバイザーの助言を受けることも有用である。より高度な技能の習得 や将来的な脅威への対応等を求めた訓練を実施する場所等においては、外部の専門事 業者に委託することにより訓練を実施してもよい。

基本対策事項2.2.3(1)-2「行政事務従事者が毎年度最低１回は教育を受講」について 対策推進計画に基づき、対象者、手段及び実施時期等の教育実施計画を定める。

教育実施計画の策定に当たっては、政府機関の統一研修プログラムや e-learning 等 の活用を含め、効率性や受講のしやすさにも配慮する必要がある。

また、教育実施計画には、情報セキュリティ担当者、CYMAT及びCSIRTに属する 職員の人材育成について、キャリアパスにも配慮し、策定する必要がある。

基本対策事項2.2.3(1)-3「3か月以内に受講」について

着任、異動した行政事務従事者に対しては、早期に情報セキュリティ対策の教育を受 講させることも有益であり、着任後３か月以内には受講させるべきである。ただし、異 動した後に使用する情報システムが、異動前と変わらないなど、教育をしないことにつ いて合理的な理由がある場合は、対象から除外しても差し支えない。

47 遵守事項

(2) 教育の実施

(a) 課室情報セキュリティ責任者は、行政事務従事者に対して、情報セキュリティ 関係規程に係る教育を適切に受講させること。

(b) 行政事務従事者は、教育実施計画に従って、適切な時期に教育を受講すること。

(c) 課室情報セキュリティ責任者は、CYMAT及びCSIRTに属する職員に教育を適 切に受講させること。

(d) 統括情報セキュリティ責任者は、最高情報セキュリティ責任者に情報セキュリ ティ対策に関する教育の実施状況について報告すること。

【 基本対策事項 】規定なし

（解説）

遵守事項2.2.3(2)(a)「適切に受講」について

課室情報セキュリティ責任者は、行政事務従事者に情報セキュリティ対策の教育を 受講させる責務があり、行政事務従事者に対して教育の実施を周知するとともに、教育 を受講しない者に対して受講を勧告するほか、受講状況を把握するなどして、積極的に 受講を促すこと等が求められる。また、受講時間を確保するなどの行政事務従事者が受 講できるための環境を整備するなどの配慮も必要である。

遵守事項2.2.3(2)(b)「適切な時期に教育を受講」について

行政事務従事者は、教育実施計画に従って、毎年度最低１回は教育を受講することが 求められる。

着任時又は異動時の場合には、新しい職場等で、情報セキュリティ対策の教育の受講 方法について課室情報セキュリティ責任者に確認することも求められる。

遵守事項2.2.3(2)(c)「CYMAT及びCSIRTに属する職員に教育を適切に受講」につい

て

サイバー攻撃等の情報セキュリティに対する脅威が増大している状況を踏まえ、政 府機関が一体となって対処することを目的に CYMAT が発足したほか、情報セキュリ ティインシデントに迅速かつ適切に対処するための組織として府省庁にCSIRTが整備 されている。これらに属する職員への教育も、その責務に照らすと極めて重要である。

48