この人またクリックしてる…
標的型攻撃メール訓練を繰り返し実施していると、何度注意しても、訓練メール内のURLリンクをクリックしてしまう人が一定数いる、という悩みに直面することがあります。
「繰り返し指導しているのに、またクリック…」
「もう、罰を与えたほうがいいのでは?」
こんな声が上がるのも無理はありません。
ですが、安易に懲罰に走ることは、かえって組織のセキュリティ文化を崩すリスクをはらんでいます。
今回は、「懲罰」という選択肢を取る前に立ち止まって考えたいポイントと、望ましい対応策について考えてみたいと思います。
⚠️ 懲罰は本当に効果的?短期的効果と長期的弊害
社員が訓練メールのリンクをクリックしたことに対して「減点評価」「人事査定への反映」「懲戒処分」といった懲罰を科すことは、一見すると再発防止に効果がありそうに思えます。
しかし、こうしたアプローチには以下のような重大なデメリットがあります。
❌ 懲罰のデメリット
- 報告されなくなる:本当の攻撃メールが届いても、罰を恐れて報告しなくなる
- 萎縮が起こる:メール対応に極度に神経質になり、業務効率が低下する
- 犯人探し文化の助長:失敗を許さず、互いに責任を押し付け合う職場風土になる
- モチベーション低下:本人の自信喪失や、周囲からの冷たい視線で孤立する
つまり、本来の目的よりも”自分が懲罰を受けないようにすること”を優先して行動するようになってしまうことで、セキュリティリテラシーの向上という本来の目的からかえって遠ざかってしまう危険性があるということです。
とはいえ、懲罰が無いからこそ、何度言っても、クリックすることを繰り返してしまうということもあるのでは?とも考えてしまいます。
✅ 懲罰ではなく「支援と成長の機会」を
懲罰を与えればクリックすることを止めてもらえるのでは無いか?という考えは、懲罰を与えることが問題の解決策として有効だと考えるからこそですが、そもそもの話として、懲罰を与えることが果たして本当に問題の解決に繋がるのか?ということを考える必要があります。
同じ人が繰り返しクリックしてしまう背景には、単なる不注意だけではなく、以下のような理由が隠れている可能性もあります。
📌 クリックしてしまう人の背景にあるもの
- メールを瞬間的に処理するクセがついてしまっている
- 日本語読解力や文脈の把握力に課題がある
- リンクの安全性確認方法を知らないまま放置されている
- 表面的に「注意喚起」はされていても、腹落ちしていない
- 訓練の実施そのものへの反発
懲罰を与えることは一見、問題の解決に繋がるような気がしますが、クリックをしてしまう本当の背景からすると、懲罰を与えることが必ずしも問題の解決にならないということもあり得ます。
何度もクリックしてしまうことを繰り返す人の背景にある本当の理由によっては、「罰」を与えることではなく、別のアプローチが必要であるかもしれません。
💬 考えられる対処法
🗣️ 1. 個別ヒアリングと対話の場を持つ
クリックを繰り返す本人自体は、悪意なく、そうしているということもあります。本人自身も、自分の傾向に気づいていないことがあるため、懇切丁寧な対話を通じて「なぜそうなったのか」をお互いに把握することが必要かもしれません。
📚 2. リテラシーの底上げを目的とした再教育
知識が足りないことが原因という場合は、特定の社員だけに再受講を促すのではなく、学び直しの機会を全体に提供する形を取ると、本人も傷つかずに再学習できます。
🎯 3. リスク感度に応じた訓練設計
クリックしてしまう傾向のある社員を対象に、段階的な難易度の訓練や、実演形式で体験的に学べる動画研修などを導入するなど、本人のレベルに合った訓練設計を行うことも有効でしょう。
🧭 4. 失敗を許容する文化の醸成
「間違えたことを報告することが賞賛される」という安全な心理的環境を作ることで、間違えたことを隠したり、間違えたという事実から目を背けるといったことが無くなり、報告をきっかけに気づきを得てもらえる機会が増えることが期待されます。
🔚 罰よりも、変化を促す“問いかけ”を
社員がリンクをクリックしてしまった時、
「どうしてクリックしたのか?」と責めるのではなく、
「どうすれば、次は気づいてクリックを踏みとどまるようになるか?」を一緒に考える姿勢こそが、組織に本当のセキュリティ文化を育てる第一歩と言えます。
何度も繰り返してクリックしてしまうような人には、やはり対話を通じて「何故クリックしてしまうのか?」ということを、掘り下げて考える事が望まれます。
背景に隠れている理由によっては、その人に合わせた教育支援やアプローチも必要かもしれません。
一方的に対処する前に、対話を通じて本当の原因を探っていくことこそが最初の第一歩でしょう。
懲罰よりも支援を。萎縮よりも成長を。
それが、セキュリティの本質に向き合う組織のあり方ではないでしょうか。
