ヒューマンリスク調査：日本企業に蔓延する厳格なセキュリティ処分の実態

最近、KnowBe4が発表した調査レポート「日本のヒューマンリスクの現状」が、国内のサイバーセキュリティにおける重要な問題を浮き彫りにしました。本レポートでは、日本の企業がサイバーセキュリティインシデントに対して従業員の懲戒処分を一般的な対応としている現状について詳述しています。この調査は、サイバーセキュリティリーダー50名と、一般従業員250名を対象に実施されました。

調査結果によると、94%のサイバーセキュリティリーダーが過去1年間に発生した「人」が関与するセキュリティインシデントが増加したと回答しています。その中で特に注目すべきは、懲戒処分が最も一般的な対応となっている点です。実際、外部からの攻撃によるインシデントでは51%、偶発的なミスに対しても49%のケースで処分が行われているという結果が出ました。これにより、組織がミスを許容せず、厳格な処分を通じてリスクを管理する姿勢が見受けられます。

調査の結果は、セキュリティリーダーと従業員の認識の乖離を示しています。具体的には、従業員のわずか10%が偶発的なミスに対して「正式な懲戒処分が必要」と意見しており、5%は「解雇されるべき」と考えています。一方で、57%の従業員が「対象別のトレーニングやサポート」を求めるなど、柔軟な対応を希望しています。これは、処罰よりも成長を重視する文化の形成を望む傾向を示しています。

さらに、調査は日本のヒューマンリスクマネジメント（HRM）の現状についても言及しています。日本では、HRMが「確立されている」とする組織はわずか8%に過ぎず、従業員のリスクを有効に可視化できている組織も29%にとどまっています。このように、組織全体のリスクマネジメントにおいてヒューマンリスクへの対策が不十分であることが大きな問題です。

また、セキュリティリーダーの96%が「人」を要因とするインシデントへの対策に課題を感じており、そのうち36%は、「事後対応型」のアプローチが問題であると認識しています。従業員の行動や意識を変えるためには、組織文化の変革が必要です。

一方で、62%のリーダーがデジタル環境の中で新しい脅威に直面していることを指摘しており、特にEメール関連のインシデントやAIアプリケーションに起因するインシデントの増加が懸念されています。これにより、攻撃手法が多様化し、組織の防衛策が追いつかないという現実が顕在化しています。

最後に、KnowBe4の社長であるブライアン・パルマ氏は、偶発的なミスに対する厳格な懲戒処分は、組織の学習機会を奪い、隠蔽を招く可能性があると警鐘を鳴らしています。今後、AIなど新技術を活用する際には、ミスを責めるのではなく、学びを共有する文化を育むことが、より強固なセキュリティを実現する鍵であると述べています。

本レポートの全文はKnowBe4の公式ウェブサイトからダウンロード可能で、国内におけるヒューマンリスクの現状をさらに詳しく理解するための重要な資料となっています。また、グローバル版のレポートも提供されており、国際的な視点からのリスクマネジメントのあり方についても考慮されており、関心のある方はぜひ一度目を通してみることをおすすめします。

会社情報