📝 はじめに:知っている「つもり」が一番の落とし穴
情報セキュリティ教育でよくある問題の一つが、「自分はもうわかっているから」と学ぶ姿勢を失っている社員の存在です。
こうした「わかったつもりの社員」が、最も基本的なセキュリティルールを無視してしまい、重大インシデントを引き起こすというケースが後を絶ちません。
本記事では、本人はわかったつもりになっているが、本当はわかっていない社員に「気づいてもらう」ための効果的なアプローチについて考察します。
🧠 なぜ「わかったつもり」の社員が危険なのか?
- 学びを止めた時点で、情報セキュリティの脅威に置き去りにされる
- サイバー攻撃は進化しているのに、自分の知識はアップデートされていない
- 指摘を受けても「俺は大丈夫」「知ってるよ」で思考停止
情報セキュリティに関する技術や認識は日々変化しています。技術や攻撃手法の進化により、過去は有効とされた対策も、今では意味をなさなくなっていることも少なくありません。
PPAPなどはその最たる例でしょう。情報セキュリティの専門家でさえ、次々に登場する新しい技術や攻撃手法をキャッチアップし続けなければならないのですから、専門家ではない一般の社員が「自分はわかっている」つもりになって学ぶことを止めてしまったら、知らない知識がどんどん増えてしまうことになるのは言うまでもありません。
🧨 結果:「初歩的なミス」で情報漏えいに直結する
⚠️ 事例①:「知っていたのに、やってしまった」
背景:
中堅社員Cさん。「フィッシングメールの特徴なんて知ってる」と豪語。
メールで「給与の振込先が変わりました」という人事部を装ったメールを受信し、疑うことなく開封。
→ フォームに社内IDを入力、実際のアカウント乗っ取り被害が発生
学びのポイント:
✅ 知っていても「思考停止」していると、手が動く
✅ 理解と実行の間に「確認する習慣」がない
学びを止めた社員が知っているのは、それまでに見聞きしたことがある情報だけ。自分にはまだまだ知らない情報や脅威があるのだということを理解し、常に警戒する気持ちを持ち続けていなければ、騙されてしまうのは時間の問題かもしれません。
⚠️ 事例②:「マニュアルは読んだけど…」
背景:
新入社員向けセキュリティハンドブックを読んだベテラン社員Dさん。
「そんなの当たり前でしょ」と余裕を見せていたが、
外出先で社内資料を無断で個人PCにダウンロードして作業し、データを社外に流出させてしまう。
学びのポイント:
✅ 「理解している=実行できる」ではない
✅ 「誰でもやってる」感覚が事故につながる
✅ 「自分はわかっているから大丈夫」という油断がミスを誘発する温床を作る
「不正のトライアングル(機会・動機・正当化)」という言葉があります。知識として知っていても、この例のように、外出先で個人PCしか手元に無い(機会)、社内資料が今必要(動機)、仕事で必要だから(正当化)という3つの条件が揃うことでインシデントが発生します。
いくら頭で理解していても、行動として実践することができるレベルにまで身についていなければ、それは知らないのと同じ事です。
💡 わかったつもりの社員に“気づかせる”3つのアプローチ
1.✅ 本人が間違える仕組みを用意する(疑似失敗体験)
- あえて“ひっかけ問題”を含むクイズや訓練を行い、「え?自分が?」という体験をさせる。
- フィッシング訓練や擬似インシデント演習を通して、実体験から学ばせる
例:
・簡単に見えるが実は巧妙な訓練メールを配信し、結果を個別フィードバック
・アンケート形式で「どこが危なかったか」を自分で考えさせる
2.✅ 自分の言動がどれだけ危険だったか「可視化」する
- 「わかったつもり」の言動が、どれほど組織にリスクを与えるかを図解・数値化して示す
- 例:その一件が数百万円規模の被害に繋がるシナリオシミュレーションを示す
3.✅ 他人の失敗事例を「自分に置き換えさせる」
- 「誰かの話」ではなく、「あなたの立場だったら?」」と主語を置き換えるワークショップ型研修
- 社内で実際に起きたヒヤリ・ハット事例をロールプレイ形式で扱うと◎
📚 まとめ:理解しているつもり、が一番危ない
| 状態 | リスク |
|---|---|
| わかっていない | 学習で伸ばせる |
| わかったつもり | 指摘が届かず事故を起こす |
| 本当に理解している | 判断・行動が一致する |
✅ 気づかせるには「失敗の疑似体験」や「可視化」が効果的
✅ 「わかってるよ」ではなく、「今も実行できてる?」と自問させる設計が必要
本人はわかったつもりになっているが、いざとなると正しい行動ができないのは、知識を実際の事例と結びつけてイメージすることができていないから。
事例②のケースで言えば、私有PCに会社の重要な情報をダウンロードしてはいけないのは当然のこととして知っていても、”情報セキュリティのルールを遵守すること”と、”営業先で資料が必要になった”ということのどちらを優先すべきなのか?がきちんと理解されていなかったことで、インシデントに繋がってしまったわけです。
もし、研修などでこのようなケースについてロールプレイングをする機会があり、情報セキュリティのルールを遵守することが何よりも優先されることを認識する経験を経ていれば、インシデントは起きないで済んだかもしれません。
売上を作るために資料が必要だったのだから、仕方ないじゃないかと考える方もいるかもしれませんが、決められたルールを守らず、インシデントが発生するようなリスクを冒す営業マンと取引したいと顧客が思うだろうか?と、顧客視点で考える機会があれば、お客様のためと思い込んでいた行動が実は間違いだったということに気づくことができたはずです。
✨ 最後に:気づきは、他人からではなく「自分の中」からしか生まれない
わかったつもりになっている社員ほど、実は成長のチャンスを目の前にしながら逃してしまっている人材でもあります。「知識の提供」だけではなく、気づきの設計を意識して、真のリテラシー向上を目指しましょう。
この記事を読んでいるあなたも、”わかったつもり”になっていないかどうか、常に自問自答することをお奨めします!
