日本企業のインシデント対応、5割が「従業員の懲戒処分」を実施 外部攻撃や偶発的ミスでも：従業員の6割弱が「ミスを責めるより学ぶ文化」を切望 KnowBe4調査

KnowBe4 Japanは日本企業のヒューマンリスクについて調査したレポート「日本のヒューマンリスクの現状：AI時代における『人』を守る新しいパラダイム」を発表した。

[＠IT]

　KnowBe4 Japanは2026年1月21日、調査レポート「日本のヒューマンリスクの現状：AI時代における『人』を守る新しいパラダイム」を発表した。

　同調査はKnowBe4が調査機関Arlington Researchに委託し、2025年8月から9月にかけて実施したもの。世界各国のサイバーセキュリティリーダー700人および一般従業員3500人を対象に調査を実施し、日本国内に勤務するサイバーセキュリティリーダー50人と従業員250人のデータを抽出・集計している。

外部からの攻撃に起因するインシデントでも約半数が従業員を懲戒処分

　調査結果によると、日本のサイバーセキュリティリーダーの94％が、「過去1年間に『人』に起因するセキュリティインシデントが増加した」と回答している。そうしたインシデントが発生した結果起きた出来事として、最も多くの回答を集めたのが「従業員の懲戒処分」だった。これは「ブランドイメージの低下」や「規制当局による処罰」を上回る回答数だった。

　外部からの攻撃に起因するインシデントの51％で懲戒処分が行われ、従業員の偶発的なミスによるものであっても、その49％で懲戒処分が行われているという。

インシデントが発生した結果起きた出来事（提供：KnowBe4 Japan）

　一方で、偶発的なインシデントに対して「正式な懲戒処分が必要」と考える従業員は10％、「解雇されるべき」と考える従業員は5％にとどまっている。対照的に従業員の57％は「対象別のトレーニングやサポート」を求めており、ミスを責めるのではなく「ミスから学ぶ文化への転換」を望んでいた。また18％は「特定のシステムへのアクセス制限」といった、処罰ではない実務的な対応を求めている。

（提供：KnowBe4 Japan）

　セキュリティリーダーの96％は「人」を要因とするインシデントへの対策に課題を感じており、そのうち36％はリスクへの対応がインシデント発生後になってしまう「事後対応型」のアプローチを問題視しているという結果も出ている。

攻撃手法の多様化と責任の所在

　攻撃手法に関しては、セキュリティリーダーの72％が過去1年間において電子メール関連のインシデントが増加したと回答した。またAI（人工知能）アプリケーションに関連する事案は49％、ディープフェイクに関連する事案は24％となっており、攻撃手法の巧妙化が進んでいる状況にある。

　組織全体のリスクマネジメントにおける課題として、責任や認識にギャップがあることも浮き彫りとなっている。自社のデータ保護について「従業員全員が責任を負うべき」と考えている従業員は21％にとどまる一方、49％が「IT・セキュリティチームの責任」、15％が「上級管理職の責任」と回答しており、セキュリティは特定の部署や役職者が担うものという認識が多数を占める実態が見て取れる。

　また、日本においてヒューマンリスクマネジメント（HRM）が「確立されている」と回答した組織は8％となり、グローバル平均の16％の半分にとどまった。従業員のリスクを有効に可視化できている組織も29％と、日本企業のヒューマンリスクへの対応は限定的だった。

　KnowBe4 Japanで職務執行者社長の力 一浩氏は、偶発的なミスに対しても約半数が懲戒処分を行う日本企業の実態に対し、「処罰への恐れは隠蔽（いんぺい）を招き、組織の学習機会を奪う」と指摘した上で、「AIなどの新技術を活用する上では、小さなミスを責めずに、気付きを組織の知恵として共有する『セキュリティ文化』の形成が不可欠であり、罰による管理から行動と意識を変容させる文化への転換が防御態勢を築く鍵になる」と述べている。