サイバー事故で｢従業員の懲戒処分｣が5割！日本企業の"個人叩き"が招く弊害は…世界より厳しい背景に｢恥の文化｣の影

組織的な要因が明るみに出ず、サイバーセキュリティのリソース不足やプロセスの問題を考え直すチャンスが失われてしまうわけだ。

また、最近ではセキュリティを特定部門や子会社のみに任せるケースもあるが、セキュリティのリソースがそこに集中してしまうという懸念がある。

親会社と子会社の上下関係が生まれ、後述する利便性とセキュリティのバランスが崩れるリスクも考えられる。そうした点を踏まえ、組織のあり方をよく吟味することが必要だと力氏は指摘する。

個人の責任を追及しがちな企業と従業員の「ギャップ」

レポートでは、懲戒処分が一般化している中で、従業員の多くは柔軟な対応を望んでいるとことを明らかにしていた。力氏はこう説明する。

力 一浩（ちから・かずひろ）／KnowBe4 Japan職務執行者社長。2002年伊藤忠テクノソリューションズに入社し通信業の大手法人担当営業に従事。その後アクセンチュアにて製造業・流通サービス業の大手法人担当営業に従事した後、アカマイ・テクノロジーズにて製造営業本部長兼西日本営業本部長を務める。20年にデル・テクノロジーズに入社し大手顧客のITトランスフォーメーションをリード。その後レッドハットにて製造・サービス事業部長として製造業・流通サービス業・電力業等幅広い業界のDXを支援し、統括推進してきた経歴を持つ。24年8月にKnowBe4 Japanに入社、KnowBe4 Japan職務執行者社長に就任（写真：KnowBe4 Japan）

「ここまで見てきたように、日本企業は個人の責任を追及しがちです。しかし従業員側は、システムや現場への支援、教育を整備してほしいと考えており、ギャップがある。それを埋めるには、従業員全員がちゃんと教育を受けることができる体制づくりや、従業員との対話が必要です」

例えば、セキュリティのルールに関して、セキュリティチーム側が現場の負担や工数を度外視した、安全第一の厳しいものを設けていたとする。

すると、現場では「現実的ではないので守れない」と考え、ルールは形骸化してしまう。そこでインシデントが起こり、現場の“不手際”として責任を取らされ、現場では不満が爆発する――。