「セキュリティ研修の後に理解度テストを実施したが、数名が合格点に届かなかった」
「不合格だった社員に対して、具体的にどのようなステップで再教育を行えばいいのか分からない」
このような悩みを抱える総務・人事・情報システム部門の担当者の方は少なくありません。
情報セキュリティ研修において、テストで不合格者が出ることは珍しいことではありません。
しかし、最も重要なのは「不合格者が出たこと」ではなく、「その後に組織としてどのようなフォロー(再教育)を行ったか」という点です。
不合格者をそのまま放置してしまうと、そこが社内のセキュリティの脆弱性になるだけでなく、ISMSやPマークの外部審査で「教育の実効性がない」として重大な指摘を受ける原因になります。
本記事では、監査に耐えうる「不合格者への再教育手順(4ステップ)」と、実務担当者の負担を減らす運用のコツを分かりやすく解説します。
1. なぜ「不合格者の放置」が組織にとって致命的なのか
テストで合格点に達しなかった従業員をそのままにしておくことには、企業のセキュリティ防衛面、およびコンプライアンス面で2つの大きなリスクが存在します。
① 外部審査(ISMS・Pマーク)で「重大な指摘」を受ける
ISMS(ISO27001)やPマークの監査員が最も厳しくチェックするのは、実は「全員が1発で合格したか」ではなく、「教育の効果が不十分だった人にどのような救済措置・再教育を行ったか」というプロセス(PDCAサイクル)です。
フォローの記録(エビデンス)がない場合、「教育プランを適切に運用していない」とみなされ、不適合の指摘を受ける可能性が極めて高くなります。
ただし実際には、規格上、テストの実施は義務付けられていません。
しかし、審査において『教育の効果があったこと』を客観的に証明するための手段(エビデンス)として、テストの実施と採点記録の保管が、実務上最も確実で推奨される方法です。
② 「知らなかった」による情報漏えい事故の温床になる
不合格になったということは、「フィッシング詐欺メールの見分け方」や「クラウドサービスの設定ルール」を正しく理解していない状態です。
その状態のまま業務を続けさせることは、いつ重大なインシデントが起きてもおかしくない爆弾を社内に抱えているのと同じです。
組織全体の防衛力を一律に底上げするためには、合格率100%を達成するまでの後追いが不可欠です。
2. 監査をスムーズにクリアする「再教育の4ステップ」
不合格者が発生した際は、あらかじめ社内でルール化された手順に沿って、淡々と以下の4ステップを進めるのが実務上最もスムーズです。
ステップ1:不合格者への「個別フィードバック」と原因の把握
まずは対象者に対して、テストの結果と不合格であった旨を個別に通知します。
この際、ただ「もう一度テストを受けてください」と丸投げするのではなく、「どの問題を間違えたのか(例:標的型メールに関する問題など)」を明示します。
本人が「何を理解していないのか」を自覚させることが、再教育のスタートラインです。
ステップ2:教材の「見直し(再視聴・再読)」の指示
テストに落ちた状態でいきなり再テストを受けさせても、勘で回答してしまい、本当の理解には繋がりません。
「間違えた分野に該当する動画のチャプターをもう一度視聴する」
「テキストの〇ページを読み直す」といった、復習の時間を必ず設けるように案内します。
ステップ3:問題内容を変えた「再テスト」の実施
復習期間を経た後、改めて理解度テストを実施します。
理想を言えば、1回目と全く同じ問題ではなく、少し問題の順番や選択肢を変えた「再テスト用の問題」を用意しておくことが望ましいです。
これにより、「答えの丸暗記」による合格を防ぎ、本当に内容を理解したかどうかの正確な効果測定が可能になります。
ステップ4:再教育プロセスの「公式記録(エビデンス)」の作成
無事に再テストで合格基準に達したら、その一連のプロセス(いつ通知し、いつ再受講させ、何点に向上したか)を「研修実施報告書」にしっかりと書き加えます。
この「後追いの記録」こそが、外部監査の場において最高の防御壁(証跡)となります。
3. 担当者の負担を劇的に減らす「不合格者フォロー」の3つのコツ
手順は分かっていても、少数の不合格者のために毎回個別に教材を作ったり、スケジュールを管理したりするのは、多忙な総務・情シス担当者にとって大きな負担です。
以下のコツを取り入れて、運用を仕組み化しましょう。
① 最初の「教育計画書」に再教育のルールを明記しておく
研修を始める前の段階で、「合格基準は80点とする」「不合格者は〇週間以内に再テストを行う」というルールを計画書に盛り込んでおきます。
事前に社内規定として明文化しておくことで、不合格者が出た際も慌てることなく、マニュアル通りに淡々と案内を流すことができます。
② 外部の「テスト付き教材・LMS」を賢く活用する
問題の作成や自動採点、未受講者・不合格者の一覧抽出などは、外部のパッケージ教材やeラーニングシステムを活用すると手作業の手間がゼロになります。
動画教材を購入する際は、「理解度テスト」や「再テスト用のバリエーション」があらかじめセットになっているものを選ぶのが賢い選択です。
③ 「なぜ間違えやすいか」を社内全体にフィードバックする
不合格者が多かった問題や、全体の平均点が低かった分野(例:クラウドサービスの共有範囲設定など)は、自社全体の共通の弱点です。
研修終了後、社内メールや啓発ポスターなどを通じて「今回の研修では、〇〇の設定に関するミスが多く見られました。全員で再度注意しましょう」と全体に共有することで、次回のインシデント予防に繋がります。
よくある質問(FAQ)
Q. 再テストを何度やっても合格できない社員がいる場合は、どうすればいいですか?
A. テキストを見ながら解答してよい「オープンブック形式」にするか、個別でのヒアリング・ミニレクチャーに切り替えてください。
ペーパーテストの形式が苦手な従業員や、IT用語にどうしても馴染めない層は一定数存在します。
目的は「テストをパスすること」ではなく「最低限の禁止事項(怪しいリンクはクリックしない等)を理解させること」ですので、担当者と1対1で間違えた部分をその場で確認し、口頭で理解が確認できれば「再教育完了」として記録を残して問題ありません。
Q. 派遣社員やパート・アルバイトが不合格だった場合も、同様の再教育が必要ですか?
A. 同等の再教育が必要です。雇用形態に関わらず、自社の情報資産を扱う以上、リスクは一律であるためです。
ただし、就業時間の制限などがある場合は、全10問の本格的なテストではなく、重要なポイントに絞った3問程度の簡易テストにするなど、運用の重さを柔軟に調整する工夫はあってもよいでしょう。
まとめ
セキュリティ研修の理解度テストで不合格者が出ることは、組織の現状の弱点を知るための貴重な機会です。
大切なのは、その不合格者を放置せず、
- 個別に間違えた箇所をフィードバックする
- 教材を再確認した上で、再テストを実施する
- 一連のフォロープロセスを「証跡(エビデンス)」として文書に残す という一連の手順を徹底することです。
外部のクオリティの高い動画教材やテンプレートを上手に頼りながら、担当者自身のタイムコストを抑えつつ、監査に100%耐えられる強固な再教育フローを確立していきましょう。
情報セキュリティ研修をご検討中の方へ
当サイトでは、企業・自治体向けに以下のサービスをご提供しています。
- 研修動画パッケージ(買い切り型)
- 講師派遣による対面・オンライン研修
- 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター
動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレート・社内掲示用ポスターも付属しており、研修担当者の負担軽減にも役立ちます。
料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。
