日本のヒューマンリスク実態調査　インシデント後の「懲戒処分」が最多に

KnowBe4は、最新調査レポート『日本のヒューマンリスクの現状：AI時代における「人」を守る新しいパラダイム』を公開した。本レポートでは、日本国内のセキュリティインシデント対応において、「従業員の懲戒処分」が最も多く挙げられていることが示されている。一方で、従業員側は処罰よりもトレーニングや支援を求めており、組織内での認識の乖離が浮き彫りになっている。

インシデント対応として多く挙げられた懲戒処分

本調査は、日本国内のサイバーセキュリティリーダー50名と従業員250名を対象に実施された。調査結果によると、セキュリティリーダーの94％が、過去1年間に「人」に起因するセキュリティインシデントが増加したと回答している。
インシデント発生後の結果として最も多かったのは「従業員の懲戒処分」であり、「ブランドイメージの低下」や「規制当局による処罰」を上回った。外部からの攻撃に起因するインシデントの51％、従業員の偶発的なミスによるインシデントでも49％で懲戒処分が行われており、インシデント発生後の対応として、懲戒処分を挙げる回答が多かったことが示されている。

従業員側の回答に見る支援・トレーニングへの期待組織全体でのリスクマネジメント

一方で、従業員側の認識は大きく異なる。偶発的なインシデントに対して「正式な懲戒処分が必要」と考える従業員は10％にとどまり、「解雇されるべき」と回答したのは5％であった。
これに対し、57％の従業員は「対象別のトレーニングやサポート」を求めており、18％は「特定システムへのアクセス制限」など、実務的な対応を望んでいる。処罰よりも、ミスから学ぶ仕組みや支援を重視する姿勢が明確になっている。

人的要因への対策に課題

調査では、セキュリティリーダーの96％が「人」を要因とするインシデント対策に課題を感じていることも明らかになった。そのうち36％は、リスク対応がインシデント発生後となる「事後対応型」のアプローチを問題視している。
また、過去1年間で増加した脅威として、Eメール関連インシデントを挙げた回答が72％に上ったほか、AIアプリケーション（49％）やディープフェイク（24％）に関連する事案も目立っており、攻撃手法の多様化が進んでいる。

責任認識とHRM確立の遅れ

自社のデータ保護について、「従業員全員が責任を負うべき」と考える従業員は21％にとどまり、49％は「IT・セキュリティチームの責任」、15％は「上級管理職の責任」と回答した。セキュリティを特定部署の責任と捉える認識が、組織全体でのリスクマネジメントの課題となっている。
さらに、日本においてヒューマンリスクマネジメント（HRM）が「確立されている」と回答した組織は8％に過ぎず、グローバル平均の16％を大きく下回った。

組織文化転換の必要性

KnowBe4 Japan合同会社の力 一浩氏は、偶発的なミスに対する処罰中心の対応が、組織の学習機会を奪い、リスク低減につながらないと指摘している。今後は、個人を責めるのではなく、ミスから得た気づきを共有する「セキュリティ文化」の形成が重要であるとしている。

「日本のヒューマンリスクの現状」の全文は、こちらよりダウンロード可能である。
また、本レポートのグローバル版はこちらからダウンロード可能である。

出典：PRTimes KnowBe4、調査レポート「日本のヒューマンリスクの現状」を公開：セキュリティインシデントの代償、最多は「従業員の懲戒処分」