サイバー攻撃対応「しくじったら懲戒」　解雇妥当と考えるのはわずか5％

　KnowBe4 Japanは、日本におけるヒューマンリスクの実態をまとめた調査レポート「日本のヒューマンリスクの現状：AI時代における『人』を守る新しいパラダイム」を公開した。調査結果から、国内のセキュリティインシデント対応において「従業員の懲戒処分」が広く採用されている実情が明らかにされている。

【その他の画像】

●「しくじったら懲戒」「うっかりでも懲戒」　日本企業の厳罰主義の実態

　同調査は国内で勤務するサイバーセキュリティリーダー50人および一般従業員250人を対象に実施された。

　調査によると、セキュリティリーダーの94％が過去1年間に「『人』に起因するセキュリティインシデントが増加した」と回答した。インシデントの結果として挙げられた項目の中において「従業員の懲戒処分」が高い割合を占め、「ブランドイメージの低下」や「規制当局による処罰」を上回った。

　外部からの攻撃を原因とするインシデントの51％で懲戒処分が適用されている。加えて、従業員の偶発的なミスが原因となったケースでも49％で懲戒処分が適用されている。偶発的な行為であっても処分の対象となる状況が一般化している。

　同調査は、こうした対応方針と従業員側の認識との間に大きな隔たりが存在することも示している。偶発的なインシデントに対し、「正式な懲戒処分が必要だ」と考える従業員は10％にとどまり、「解雇が妥当だ」と考える回答は5％だった。

　これに対し、従業員の57％は対象別のトレーニングやサポートを求めており、処罰よりも再発防止につながる施策を望んでいることが読み取れる。処分ではなく特定システムへのアクセス制限など実務的な対応を求める回答も18％存在した。

　人的要因への対応は、管理側にとっても課題となっている。セキュリティリーダーの96％が「人を要因とするインシデント対策に難しさを感じている」と答えた。そのうち36％は、リスクへの対応がインシデント発生後に偏っている点を問題として挙げている。事前の備えが十分でない現状がうかがえる。

　脅威の内容にも変化が見られる。「過去1年間で電子メール関連のインシデントが増加した」と回答したセキュリティリーダーは72％だった。AIアプリケーションに関連する事案は49％、ディープフェイクに関する事案は24％となり、攻撃手法の幅が広がっていることが示された。

　責任の所在に関する認識にも差が存在する。自社のデータ保護について「全従業員が責任を負う」と考える回答は21％にとどまった。IT・セキュリティ部門の責任とする回答は49％、上級管理職の責任とする回答は15％であり、セキュリティ対策が特定の部署や役職に限定された課題として捉えられている状況が浮かび上がった。

　ヒューマンリスクマネジメント（HRM）の整備状況も限定的だ。「日本でHRMが確立されている」と回答した組織は8％であり、グローバル平均の16％を下回った。「従業員のリスクを可視化できている」とする回答も29％にとどまっている。

　KnowBe4 Japanの職務執行者社長である力一浩氏は、偶発的なミスにも高い割合で懲戒処分が適用されている点を指摘し、大規模なインシデントほど組織的な要因が背景に存在すると説明した。個人への処罰のみではリスク低減につながらず、処罰への恐れが事実の表出を妨げる可能性にも言及している。AIなど新技術の活用が進む環境下において、ミスから得られた知見を共有する文化の構築が不可欠だとの見解を示した。