「入社前の内定者に対して、セキュリティ教育を行う必要はあるのだろうか」
「内定者がSNSに会社の情報を書き込んでしまわないか不安だが、どう対策すべきか」
このような悩みを抱える総務・人事・情報システム部門の担当者の方は少なくありません。
採用活動が早期化し、内定から入社までの期間が長期化するなか、内定者向けの教育やフォローのあり方に注目が集まっています。
内定者はまだ正式な従業員(雇用関係)ではないものの、内定者懇親会や内定式、インターンシップ、社内SNSへの招待などを通じて、企業の内部情報や未公開のプロジェクトに触れる機会が増えています。
学生気分のまま「内定をもらった!」とSNSに社内の様子を写真付きで投稿してしまったり、配布された端末の管理を怠ったりすることで、入社前に重大なインシデント(事故)を引き起こすケースが後を絶ちません。
本記事では、内定者向け情報セキュリティ研修の必要性と、入社前のタイミングで必ず伝えておくべき必須項目について分かりやすく解説します。
1. なぜ入社前?内定者にセキュリティ研修が必要な「3つの理由」
「セキュリティ教育は4月の新入社員研修でまとめてやればいい」と考えがちですが、入社前のタイミングで実施すべき理由は主に3つあります。
① SNSによる「内定者発の漏えい(バイトテロ・内定者テロ)」を防ぐ
現代の内定者は、日常的にSNS(X、Instagram、TikTok、Threadsなど)で発信を行うことが当たり前の世代です。
「内定式の資料」「配属予定の部署名」「懇親会で先輩社員から聞いた未公開の新商品情報」などを、悪意なく個人のアカウントに投稿してしまうリスクがあります。
たとえ「鍵付きアカウント(非公開)」であっても、スクリーンショットなどで拡散される危険性があり、企業のブランドイメージに致命的な打撃を与えます。
② 入社前の「内定者SNS」や「課題配布」における端末リスク
多くの企業が、入社前のコミュニケーション維持のために内定者専用のサイトやチャット(SlackやLINEワークス等)を活用したり、eラーニングの課題を提供したりしています。
これらにログインするためのIDやパスワードを、個人のスマホや公共のPC(大学のパソコン室など)に保存したまま放置し、アカウントを乗っ取られるリスクに事前に対処する必要があります。
③ 内定辞退時における「情報の不正持ち出し・拡散」の防止
万が一、内定者が他社への乗り換えなどで「内定辞退」を選択した場合、それまでに渡していた社外秘の資料や、内定者サイト内で得た他の内定者の個人情報を外部に持ち出されたり、ネット上に晒されたりするリスクがあります。
入社前であっても「守秘義務」が存在することを明確に認識させなければなりません。
2. 入社前の内定者に必ず伝えるべき「4つの必須事項」
内定者向けのセキュリティ教育では、高度なサイバー攻撃の知識よりも、自身の行動が引き起こすリスク(コンプライアンス)に特化した以下の4点を伝えることが実務上重要です。
① 内定者としての「SNS利用ガイドライン」の徹底
- 内容:会社に関する情報(オフィスの写真、書類、社員の名前、研修内容など)は、いかなる場合もSNSやインターネット上に投稿してはならないことを厳格に伝えます。
- 教育のコツ:過去に他社の内定者が不適切な投稿で内定取り消しになったり、損害賠償を請求されたりした具体的な事例を共有し、「自分ごと」として危機感を持たせます。
② アカウント情報の厳重管理と「シャドーIT」の禁止
- 内容:内定者サイトや課題用システムにログインするパスワードを他人に教えたり、カフェなどの公共Wi-Fi(フリーWi-Fi)を使って暗号化されていない環境でアクセスしたりすることを禁止します。
- また:内定者同士の連絡のために、会社が指定していない個人のLINEグループなどで会社の資料を共有する行為(シャドーIT)の危険性も伝えます。
③ 秘密保持誓約書(NDA)の締結と「守秘義務」の理解
- 内容:内定を出した(あるいは承諾した)段階で、入社前であっても会社の機密情報を第三者に漏らしてはならないという「守秘義務」が発生することを説明し、書面または電子契約で「秘密保持誓約書」を回収します。これにより、組織としての法的統制を確保します。
④ ショート動画とミニテストによる「受講記録(証跡)」の確保
- 内容:長時間の座学ではなく、内定者のスマホやPCから15分〜30分程度で視聴できる「内定者向けセキュリティ動画」を受講させ、その場でWEBテストを実施します。
- 理由:ISMSやPマークの監査において、「内定者や内定者インターンに対しても、適切なタイミングで教育とテストを行い、その記録を保管しているか」はチェック対象となるため、エビデンスを自動で残せる仕組みが有効です。
3. 担当者のリソースを消費しない「内定者教育」の運用の工夫
採用業務や新年度の準備で多忙な人事・研修担当者が、内定者一人ひとりに個別でセキュリティの対応をするのは大きな負担です。効率的な運用の仕組みを作りましょう。
- 「内定者フォロー期間」に動画学習を組み込む: 内定承諾後から入社までの間の「eラーニング課題」の一つとして、セキュリティの基本動画の視聴を必須化しておきます。動画の視聴ログとテスト結果を管理画面で確認するだけでよいため、担当者の工数をほぼゼロに抑えられます。
- 内定式や懇親会の「アジェンダ」に組み込む: 内定者が一堂に会する内定式や最初の懇親会の冒頭15分を活用し、「これから会社の情報を扱うにあたっての約束事」として、一斉にアナウンスと誓約書の回収を行うプロセスを標準化します。
よくある質問(FAQ)
Q. まだ入社していない(雇用契約を結んでいない)内定者に対して、研修の受講を強制することは法律上問題ありませんか?
A. 内定者向けに情報セキュリティ研修を実施すること自体は珍しいことではありません。
しかし、受講をどこまで義務付けられるかや、賃金の支払いが必要となるかは、雇用契約の内容や研修の実施方法、拘束時間などによって判断されます。
例えば、入社後に使用するシステムや情報の取扱いについて理解を深める目的で、短時間の動画教材を案内するなど、内定者の負担に配慮した形で実施されるケースは多く見られます。
一方で、長時間の研修への参加を義務付けたり、実質的に業務と同様の内容を受講させたりする場合には、労働時間や賃金の支払いが問題となる可能性があります。
入社前研修を実施する際は、研修の目的や参加方法、所要時間などを十分に検討し、必要に応じて社会保険労務士などの専門家へ確認することをおすすめします。
まとめ
内定者向けの情報セキュリティ研修は、トラブルを未然に防ぐだけでなく、これから社会人になる内定者に対して「プロとしての意識」を芽生えさせるための、最初のコンプライアンス教育(オンボーディング)でもあります。
- 入社前から発生する「SNSによる漏えい」や「アカウント乗っ取り」のリスクを未然に防ぐ
- 秘密保持誓約書の回収と短時間の動画受講・テストをセットで行い、監査エビデンスを残す
- 買い切り型の動画教材を活用し、担当者のリソースを奪わずに自動化・効率化する
内定者が安心して残りの学生生活を送り、万全の状態で入社日を迎えられるよう、実務に即したスマートな内定者向けセキュリティ教育を仕組み化していきましょう。
情報セキュリティ研修をご検討中の方へ
当サイトでは、企業・自治体向けに以下のサービスをご提供しています。
- 研修動画パッケージ(買い切り型)
- 講師派遣による対面・オンライン研修
- 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター
動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレート・社内掲示用ポスターも付属しており、研修担当者の負担軽減にも役立ちます。
料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。
