社員がセキュリティを自分事化しづらいのは「当たり前」心理学的観点から探る、情シスが取るべきアプローチ

なぜ経営層・従業員はセキュリティ対策を「自分事化するのが困難」なのか？

　従来より行われている情報セキュリティ訓練についても、いまだ課題は多く残っている。経営層から効果的な訓練実施が求められるなか、訓練による現場の負担も配慮しなければならない板挟み状態になっている情報システム部門も多いことだろう。

　昔から根深い課題である「経営層や現場の従業員たちがセキュリティ対策の重要性を理解してくれない・理解しても実行に移してくれない」という問題について、稲葉氏は「そもそも経営層や従業員にとってセキュリティ対策を自分事として考えることが難しいのは至極当然のこと。むしろ、自分事として考えられる人のほうが珍しい」と指摘する。

　この心理的なメカニズムの背景には、人間が持つリソースの有限性があるという。人がもつ時間や労力、注意力といったリソースには上限がある。そのため、人間は自分と直接関係がある事柄、つまり「自分事」にリソースを投資するのだ。

　経営層や現場の従業員は、自分と直接関係があると思っているメインの業務や意思決定にリソースを集中して投資したいと考え、自分とは直接関係がないと思う事柄にリソースを投資したがらない。実際には、自分のメインの業務に投じるリソースも十分には確保できず、セキュリティに気をつかうためのリソースはできるだけ抑えたいのが本音だろう。

　では、こういった経営層・従業員たちにセキュリティを少しでも自分事と認識してもらうためにはどのような施策を講じるべきか。同氏は、“対話によるアプローチの重要性”を強調する。

「『同業他社でこういったインシデントがあったので、我々も注意しよう』と説明したが、経営層や現場から『自分はそんなミスはしないし、インシデントも起こさない』と反発された、といった声をセキュリティ担当者から聞くことがあります。他人や他社のことを伝えても、セキュリティを自分事として考えられていない人にとっては、それはあくまでも他人や他社の問題でしかありません。セキュリティを自分事として考えさせるためには、自分自身との結びつきを認識させることが重要です」（稲葉氏）

　たとえば、従業員に「業務の中で、あなたはどのようなときにミスをしやすいか」といった問いを投げかけてみる。そのとき、「自分はいかなる時も絶対にミスをしない」と言い切れる人は稀だろう。誰もが業務で忙しい時期には注意力が散漫になりやすく、悪意あるメールのリンクをうっかりクリックしたり、何かミスをしてしまった後に必要な手続きを忘れたりする可能性がある。そのときにどのような問題が起こるのか、周囲にどのような影響を及ぼすのかを考えてもらい、メインの業務や意思決定がセキュリティと結びつくことを気づかせ、セキュリティを自分事として考えざるを得ない状況をつくりだす必要があるという。

　また、ミスなどがあった場合にペナルティを科す“懲罰的な手法”をとる企業も多いが、稲葉氏は「むしろ逆効果になりかねない」と警鐘を鳴らす。懲罰的な手法は従業員にとってルールを守らなければいけないという強い動機付けにはなるものの、実際にミスをしてしまった際にその事実を隠ぺいしようとする方向に向かいやすく、かえって違反行為が増えるリスクもあわせもっている。

　「施策に納得感があれば、たとえ『嫌だな』と思うことでも従業員は案外行動してくれます。従業員が思うように訓練に参加してくれないのは、提示されている訓練に納得感がないからです。納得感を高めるには、インタラクティブなアプローチが欠かせません。注意喚起を一方的に伝えるだけでは、相手は『押し付けられている』と感じてしまいます。だからこそ、対話による双方向のコミュニケーションが求められるのです」（稲葉氏）