セキュリティ「ついやってしまった」理由ランキング 3位「無理解」、2位「油断」を超えた1位は？：ミス発生時に「自力解決」を図る従業員は意外といる

NSSは、業務でPCやITシステムを扱う従業員1025人を対象にセキュリティ教育の浸透度を調査した。約6割が教育内容を「なんとなく理解している」にとどまるなどの実態が明らかになった。

[＠IT]

　NSSスマートコンサルティング（以下、NSS）は2026年3月31日、「企業における情報セキュリティ教育の浸透度と従業員の意識」に関する調査結果を発表した。調査は2026年3月18〜19日にインターネットで実施し、業務でPCやITシステムを扱う従業員1025人が回答した。

セキュリティ「ついやってしまった」経験と、その理由ランキング

　業務中のセキュリティリスクにつながる「ついやってしまった」経験について、調査された。「ついやってしまった」経験として多かった3つは次の通り。

• 3位：業務上不必要なファイルをダウンロードした（8.6％）
• 2位：不審なメールだと疑いつつも開封した（10.4％）
• 1位：パスワードを使い回したり、簡単なものを設定したりした（18.5％）

　「ついやってしまった」理由として多かった3つは下記の通り。

• 3位：ルール違反になるかどうか分からなかった（28.5％）
• 2位：自分は大丈夫だろうと安易に考えた（31.9％）
• 1位：業務が立て込んで確認がおろそかになった（40.2％）

「ついやってしまった」経験（左）と、「ついやってしまった」理由（右）（提供：NSSスマートコンサルティング）

　NSSは、「ついやってしまった」行動の背景について、業務負荷や個人の油断に加え、ルールの周知や理解が十分でない可能性を指摘している。

ミス発生時の初動対応、「自力解決」を図る従業員の割合

　セキュリティミスに気付いた際の最初の行動は、正しい初動対応である「すぐに指定の連絡先に報告する」が59.1％だった。

　一方、「まずは自分で解決できないか調べる」が19.8％、「同僚など話しやすい人に相談する」が9.8％となり、NSSは対応の遅れが被害拡大につながるリスクを指摘する。教育だけでなく、迅速な情報共有を促す仕組み作りや、ミスを責めない環境の整備が重要であることが示されたとしている。

ランサムウェア事件で危機感を抱いても、3割超が「どう行動すればいいか分からない」

　大規模なランサムウェア被害や情報漏えい事件が相次ぐ中、従業員はこうした社会的なサイバー事件をどう受け止めているのか。「危機感を抱き、日々の業務でより慎重になった」と答えた人は41.6％と最多だった一方、「危機感はあるが具体的に何をどう気を付ければいいか分からない」が33.4％に上った。さらに「怖いとは思うが、自社が狙われることはないだろう」と楽観視する層も13.2％存在した。

　ニュースが危機感のきっかけにはなっても、それが具体的な行動変容につながっていないケースが3割を超えるという結果は、教育や研修の在り方を見直す上で重要な示唆を含んでいる。「自分ごと」として脅威を捉えてもらうには、抽象的な知識の伝達にとどまらず、自社の業務や業種に即した具体的なリスクシナリオを用いた実践的な啓発が求められるとNSSは指摘している。

サイバー攻撃のニュースに対する意識（左）と、会社に求めるサポート（右）（提供：NSSスマートコンサルティング）

情報セキュリティ教育、約3割が未受講のまま

　情報セキュリティ教育の受講状況を聞いたところ、「入社時と定期的な研修の両方」を受講している割合は41.9％にとどまった。「受講経験がない」層も27.0％存在しており、継続的な教育機会を提供できていない企業の現状が示された。

　情報セキュリティ教育の受講状況は以下の通り。

• 入社時と定期的な研修の両方を受講している（41.9％）
• 定期的な研修のみ受講している（17.3％）
• 入社時の研修のみ受講した（13.8％）
• どちらも受講したことがない（27.0％）

　「入社時に情報セキュリティ教育を受講した際、当時の率直な感想や状況として最も近いもの」について尋ねたところ、「内容が専門的で難しく、業務でどう気を付ければいいかイメージできなかった」（20.5％）が最も多く、「『やってはいけないこと』が明確になり、安心して業務に取り組めると感じた」（20.3％）「覚える業務やルールが多過ぎて、情報セキュリティのことまで頭が回らなかった」（17.0％）と続いた。

情報セキュリティ教育の受講経験（左）と受講時の感想（右）（提供：NSSスマートコンサルティング）

「役に立っている」と9割が回答するも、6割弱は「なんとなく理解」の状態

　教育受講者の内容の理解度に関する質問に対しては、内容を「具体的に理解している」と答えたのは30.4％にとどまり、「なんとなく理解している」が58.7％と大多数を占めた。

　受講時の感想としては専門用語の難しさを挙げる声も多く、知識として頭に入っていても、実務で即座に判断できるレベルまで落とし込めていない実態が示された。

　回答の内訳は以下の通り。

• 具体的に理解している（30.4％）
• なんとなく理解している（58.7％）

　約9割が「理解している」と回答しているが、その理解の程度にはばらつきがあるのではないか、とNSSは指摘している。

　一方、情報セキュリティ教育の内容が、日々の業務で「役に立っている」と回答した割合も、同様に約9割に上った。

• とても役に立っている（29.1％）
• ある程度役に立っている（62.1％）

　「役に立っている」とする約9割の回答に対して、「なんとなく」の理解でも、情報セキュリティ教育が従業員の危機意識の向上や、日常業務における注意喚起につながっていることがうかがえる、とNSSは肯定的に評価している。

教育内容の理解度（左）と業務での役立ち度（右）（提供：NSSスマートコンサルティング）

　「情報セキュリティに関する知識や社内ルールのうち、幾つ内容を理解できているか」と尋ねたところ、「パスワードの適切な設定・管理（使い回しの禁止など）と、多要素認証の仕組み」（57.2％）が最も多く、「フィッシング詐欺や不審なメール・URLの識別方法」（55.5％）「業務における社内情報（個人情報、機密情報など）の適切な取り扱いルール」（46.6％）と続いた。

従業員が会社に求めるサポート

　「迷わず安全に業務を行うために会社が強化すべきサポート」として最も多かったのは「会社全体で統一されたルールや基準の策定・運用（ISMS《情報セキュリティマネジメントシステム》などの国際規格の活用など）」（49.2％）で、「実践的な訓練」（30.4％）、「気軽に聞ける相談窓口の明確化」（29.3％）と続いた。

　NSSは、従業員が「知っている」状態から「迷わず行動できる」状態に移行するための、「統一された明確なルールや基準」が求められていると指摘している。