組織変革
情報セキュリティ問題は人と文化で防ぐ|意識改革×リスクアセスメント
最終更新日:2026.03.24
目次
DXで情報は価値を生む一方、漏えい・停止は信用と事業を揺らします。実は多くの情報セキュリティ問題は「仕組み」だけでなく「人」と「文化」に根があります。本記事では情報リスクアセスメントを起点に、社内ポータルを活かした意識・行動変容の進め方を整理します。
情報セキュリティの問題とは
情報セキュリティの「問題」を突き詰めると、次のどれか(または複合)に分類できます。どれを守るべきかが曖昧なままでは、対策もどうしても曖昧になりがちです。
- 機密性(Confidentiality):見てはいけない人が情報へアクセスしてしまう(漏えい、覗き見、内部不正など)
- 完全性(Integrity):情報が正しくなくなる(改ざん、誤更新、誤送信、マスタ汚染など)
- 可用性(Availability):必要なときに使えなくなる(ランサムウェアによる暗号化、DDoS、障害、オペミスなど)
なお、IPAの「リスク分析シート」でも、情報資産を洗い出し、CIAの観点で重要度を評価する流れが示されています。大企業では部門ごとに保有する情報資産が多く、まず”見える化”がないと議論が始まりません。
このセクションの要点
- 「情報セキュリティ問題」は”漏えい”だけではなく、CIA(機密性・完全性・可用性)の毀損全体を指します。
- 対策の出発点は「守る対象(情報資産)の見える化」です。
企業で情報セキュリティの問題が増えている理由
結論から言えば、守る対象が増え、境界が消え、攻撃・事故の手口も変化しているからです。IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威の上位に「ランサム攻撃」「サプライチェーンや委託先を狙った攻撃」が入り、さらに2026年版では「AIの利用をめぐるサイバーリスク」が初めて選出されています。
換言すれば、DX推進でSaaS・生成AI・外部委託が増えるほど、”境界内だけを守る”発想では足りなくなってきているのです。METI/IPAの「サイバーセキュリティ経営ガイドライン」も、経営者のリーダーシップの下でサイバーセキュリティ対策を推進する必要性を明確にしています。
現実には、DXが進むほど「知らないうちに増えるIT(シャドーIT)」や、部門最適のツール導入が起きやすく、統制の難易度が上がります。NIST CSF 2.0も、サイバーリスクを理解・評価・優先付け・コミュニケーションするための枠組みを提供するものと説明されています。言い換えれば、組織全体で通じる”話せる共通言語”が必要な時代に入っているということでしょう。
情報セキュリティの問題が起きると企業が受ける影響
影響は「技術」より「事業」に出ます。特に大企業では、サプライチェーン/委託先/グループ会社へ波及しやすいのが特徴です。IPA 10大脅威でも、サプライチェーン・委託先を狙う攻撃が上位に位置付けられています。
法務・コンプライアンス面では、個人データの漏えい等が起きた場合、要件に該当すると「漏えい等報告」が義務付けられます(個人情報保護委員会)。具体的には、要配慮個人情報、財産的被害のおそれ、不正目的行為による漏えい等が報告対象として整理されています。
また個人情報保護委員会の案内では、ランサムウェア事案による個人データの漏えい等の報告について、令和7年10月1日以降は共通様式による報告が可能になる旨も明記されています。対外対応(広報)と、社内収集(人事・情シス・法務)の連携設計が重要と言えるでしょう。
さらに、警察庁の資料でも、2023年(令和5年)はランサムウェア被害が197件と高水準で推移し、ノーウェアランサム(暗号化せず窃取・要求)も新たに確認されたとされています。視点を変えれば、可用性だけでなく機密性(窃取)にも同時に備える必要がある、という示唆ともとれます。
情報セキュリティの問題の原因は技術より人であることの実態
結論は「人・組織・技術が連鎖する」ですが、引き金としての”人の関与”が大きいのは事実です。たとえばJNSAの個人情報漏えい調査(2013年の例)では、原因の内訳(件数)で「誤操作 34.9%」と「紛失・置忘れ 14.3%」が示され、この2つだけで49.2%(約5割)にのぼります。
ここが重要なポイントで、技術対策だけで”人のミス”をゼロにはできません。JNSAの同資料でも「誤操作」「紛失・置忘れ」はヒューマンエラーであり、教育や手順づくり、そして暗号化などの対策を組み合わせることの重要性が述べられています。
しかし、情報セキュリティにおけるポイントが「人」であると分かってはいても、実際に組織と従業員の意識を変えていくのはなかなか難しいものです。だからこそ、そこに潜む情報セキュリティ上のリスクを識別・分析する「情報リスクアセスメント」の取り組みを戦略的に進めることが必要になります。
この記事では、会社の中の「人」の体験に着目して数多くの企業の組織変革をサポートしてきたソフィアならではの視点で、情報リスクアセスメントにおける重要かつ必要なポイントをご紹介していきます。ぜひ参考にして、実効性のある情報リスク対策にお役立てください。
情報リスクアセスメントは何を評価するのか
情報リスクアセスメントは、社内の情報資産を棚卸しし、脅威・脆弱性・影響を踏まえてリスクを評価し、優先順位を付けて対策へつなげる活動です。NIST SP 800-30(リスクアセスメントのガイド)は、リスクアセスメントが全体のリスクマネジメントの一部であり、経営層が適切な意思決定を行うための情報を提供するものと位置付けています。
一般的な情報リスクアセスメントに不足している視点とは
企業のリスク管理において重要な「組織のリスクマネジメントプロセス」の基本要素の1つに、「情報リスクアセスメント」があります。情報リスクアセスメントとは、
- 自社が持つ、あるいは管理するさまざまなレベルの情報を資産と捉え
- それら情報そのもの、および紙や電子メディアなどの記録媒体を扱う状況下において自社や関係社会にどのようなリスクが存在するのかを評価し
- それぞれのリスクの重要度や対応策などをあらかじめ想定しておく
という一連のプロセスを指します。
情報リスクアセスメントは一般に、
- 意思決定者に対して情報リスク管理に役立つ情報を提供する
- リスクの重要度や対応策を明確化することによってリスク対応を支援する
ことを目的として実施されます。しかし近年、企業における急速なデジタル化推進により、デジタルツールに不慣れなまま業務で使用しなければならない状況の社員が増え、さらにインターネットに接続される機器・アプリケーションも多様化したことなどから、これまで想定しなかったようなヒューマンエラーや機器障害の脅威も増加しています。このような状況に対応するために、情報リスクアセスメントの緊急性と重要性が増しているわけですが、一方で、情報リスクに介在する「人」や部署の数も増えて多様化し、実効性のあるアセスメントの実施が困難な時代が到来しています。
同じ企業で働く従業員とはいえ、情報への感度や、セキュリティに対する意識・行動は一人ひとり異なり、それぞれの意識や行動には「人の感情」や「組織の文化・風土」が影響しています。しかし、一般的な情報リスクアセスメントの枠組みでは、この部分が抜けているのです。
インターナルコミュニケーション支援を専門に行う私たちソフィアが、お客様企業から情報リスク対策に関する相談をいただくのは、組織ではたらく「人」の感情や行動、組織の文化・風土を専門としているからこそ、気付けるポイントがあるからなのです。
重大なインシデントを引き起こす要因は「人」
NPO法人日本ネットワークセキュリティ協会(JNSA)の数年にわたる調査報告書によると、「紛失・置き忘れ」「誤操作」という人的過失から起こる事案は、常に全体の5割前後という大きな比率で発生しています。それに加え、2014年以降は不正アクセスに起因する情報漏えいが増加の傾向にあります。このように、情報セキュリティ事故が主に人的要因で起こっているという事実は、皆さんもご経験から思い当たる節があるのではないでしょうか。
「情報の外部持ち出し禁止」「情報の公開時には複数人でチェック」「素性のはっきりしないメールやサイトへのアクセス禁止」などのルールやシステムを強化しても、こうした事件・事故が後をたたないのは、ルールやシステムを運用する人の感情や組織の風土・文化を視野に入れた対策ができていないからだ、とソフィアは考えています。
いくらルールを作って教育をしたとしても、それが機能するとは限りません。例えば、工場や工事の現場ではチェック表の記入や専門の係員を置くなどで何重もの安全対策を行っていますが、事故が発生することがあります。そして、事故の背景には「このくらいは大丈夫だろう」という担当者の個人的な判断や、現場の状況を知らずに無茶な指示をしてくる上位職や会社、といった要因がしばしば存在します。
工場の安全対策と同様に、情報リスクアセスメントにおいても、社員が情報セキュリティに対して日常どのような意識を持ち、どのような行動をしているのかを知ることがまず必要です。そして、人的リスクがどこに潜むのか、何が情報セキュリティ意識・行動浸透の阻害要因になっているのかを明確にし、そこから課題を抽出したうえで対策をしなければ有効な対策とはならないのです。
情報セキュリティ問題を減らすために最初に着手すること
いきなり教育やツール導入から始めると、現場は「また仕事が増える」と捉えがちです。まずは“現状の可視化”から始めることをおすすめします。これは、PDCAよりもCAPD(Check→Act→Plan→Do)で始める発想と整合します(本記事の中核的なテーマでもあります)。
現状把握(Check)で最低限そろえておきたいアウトプットを、わかりやすくまとめると次の通りです。
- 情報資産台帳(どこに、何があるか):IPAのガイドでは「普段見ているデータはどこに保存されているか」を起点に洗い出す考え方が示されています。
- 部門別リスク仮説(どこで事故が起きそうか):IPA 10大脅威(ランサム、サプライチェーン、内部不正、リモートワーク等)を”自社文脈”に翻訳する。
- 社内の”伝わり方”の把握(ルール以前の前提):ルールが届かない組織では、ルールを増やすほど現場が疲弊します。
この「伝わり方(インターナルコミュニケーション)」は、情報セキュリティ対策の実効性を左右します。弊社ソフィアの調査では、従業員1,000人以上企業で社内コミュニケーションに「問題がある」と感じる層が約8割に達しており、情報共有の遅れ・所在不明が上位課題として挙がっています(以下参照フル_IC実態調査2024_材料)。
社内ポータル担当者が情報セキュリティ問題の予防に貢献できること
結論は、「ルールを置く場所」ではなく「行動が変わる導線」を設計することです。NIST CSF 2.0が強調するのも、リスクを理解し、優先順位を付け、共通言語でコミュニケーションすることです。社内ポータルはまさに”共通言語の媒体”になり得ます。
社内ポータルで効く設計は、次の3つです(人事・広報・DX推進が連携するほど強くなります)。
「迷わない」:誰が見ても判断できるミニルール
具体的には、ファイル共有・外部送付・生成AI利用・委託先共有の”やってよい/だめ/相談”を1枚にまとめるようなイメージです。IPAのリスク分析手法は、情報資産・脅威・脆弱性を整理し優先度を決める考え方で、現場の判断基準づくりと相性が良いといえるでしょう。
「習うより慣れる」:ツール利用とガイドライン整備をセットで
弊社ソフィアの調査では、コミュニケーションツール導入自体は進んでいる一方、活用を妨げる要因として「使い方の教育不足」が上位に挙がっています。さらに、活用促進施策として「セキュリティなどに関するガイドラインの整備と周知」も一定比率で挙がっています(前出フル_IC実態調査2024_材料)
「測る」:教育・周知を”やった”で終わらせない
NISTは学習プログラムが行動変容を促し、セキュリティ文化につながるべきこと、そして評価指標(メトリクス)を含むべきことを示しています。社内ポータルは閲覧・検索・完了率などのデータが取りやすく、改善(Act)に戻しやすいという利点があります。
有効な情報セキュリティ対策につなげるアセスメントのあり方とは
ここからは現行記事の核である「CAPD」を中心に据え、”人と文化”の論点を保ちながら、必要情報を補強していきます。
十分な実効性のある情報セキュリティ対策を行うためには、保有している情報資産やルール、ポリシーに対するアセスメントを実施すると同時に、従業員の情報セキュリティ意識に対する調査を行い、「コミュニケーションや組織風土上のリスクを把握する」ことが必要になります。
なぜ「コミュニケーションや組織風土」まで見る必要があるのでしょうか。ISO 31000でも、リスクマネジメントはステークホルダーの関与や人・文化要因の考慮を重視する方向で整理されています。情報セキュリティを”リスクとして経営する”以上、人と文化を外して設計しないことが肝要です。
プロジェクト管理や業務における品質・生産管理の改善手法の1つとして「PDCA」という言葉を耳にされたことがあるかと思いますが、ここではサイクルの順序を変えた「CAPD」のフレームでプロセスを組み立てていきます。
PDCAとCAPDの違い
― PDCA ―
- P=Plan(計画):目標や計画を立案する
- D=Do(実行):計画に基づき業務を実行する
- C=Check(評価・分析):計画と実績を比較・分析する
- A=Act(改善):現状把握・計測をもとに改善内容を立案する
― CAPD ―
- C=Check(現状把握・計測):現状の問題点などを把握・計測する
- A=Act(改善):現状把握・計測をもとに改善内容を立案する
- P=Plan(計画):改善案をもとに具体的な施策を計画する
- D=Do(実行):計画に基づき業務を実行する
PDCAサイクルでは最初にPlanがあり、その計画に基づいて進捗と状況把握を行いながら評価・改善へと進んでいきます。一方、CAPDサイクルはまず現状把握から始めて問題点や課題を浮き彫りにし、それを基に改善の方向と具体策を立てることで実行につなげます。最初に現状を計測して理解することで、取り組みの目的や、やるべきことが明確になり、具体的なプランにまで落とし込みやすくなります。また、実行段階においても当初のデータがあるため、進捗の度合いや効果を比較しやすく、軌道修正も可能です。その意味で最後のDoから再度Checkに戻り、理想的に回り始めたサイクルはPDCAと同じ形をとります。
情報セキュリティに関するアンケートやヒアリングを実施する
CAPDのスタート地点として、情報セキュリティに関する調査を行います。この工程における第1の目的は、全社員および各部門の業務と知識、そして情報セキュリティに対する意識と心理を可視化することです。
問題が発生する背景には、多くの場合、当事者が「自分ごと」として納得しないままにシステムやルールだけが規定されていく状況があります。ソフィアでは「心が動けば、体が動く」という考えに基づいて、現場の状況を十分に把握し、すべての関係者がセキュリティの問題を「自分ごと」として腹落ちできるような「現状の可視化」を大切にしています。
ここで、上位記事との違いとして「誰を調査対象に入れるか」を明示しておくと、説得力がぐっと上がります。NIST CSF 2.0でも、供給者(サプライヤ)・外部関係者を含めたリスクの把握と優先順位付けが示唆されています。社内の正社員だけ見ても、現実のリスクは閉じないのです。
調査の手法には社員アンケートや役員へのヒアリング、中堅層のグループインタビューなどがあり、それぞれの企業に合った方法を採用します。いずれの方法を用いた場合にも、具体的な施策を展開する前の段階から、情報を扱う当事者(現場)を巻き込んでいくことで情報セキュリティ対策に取り組む意義を社内に浸透させ、その目的や重要性の理解を促すことができます。またルールやシステムを作る会社側に対して、「自分たちの意見を汲んでもらえない」「余計な仕事を増やされる」などの不安や不信感を持つ層に対しては、その誤解を解くことができ、協力を促す意味も持つものです。
なお、アンケートやヒアリングなど調査の対象範囲は、正社員だけでなく必ず派遣社員やアルバイト、業務委託先など「セキュリティリスクにかかわるすべての従業者」とする必要があります。情報はいまやサプライチェーン上でシームレスに流通するため、社内だけで管理を徹底しても、関連する流れの一部から情報が流出する危険が残ります。セキュリティリスクは徹底的に洗い出し、課題と優先順位を明確にしてください。
アンケートやヒアリングの結果に基づいて施策を講じる
調査・把握のプロセスによって現状の評価が完了したら、明確化された課題と優先順位に応じて、どのように社内に変化を起こすべきか、施策を検討します。
ここで重要なのは、単なる情報セキュリティ上の課題解決策としてではなく、これまで目に見えてこなかった従業員の心理や意識といった部分をテーブルに乗せ、「サプライチェーンを含めた社内意識変革活動」として情報リスクアセスメントを行うという視点です。
この”意識変革活動”を実装する上で、NISTは学習プログラムが行動変容を促し、文化につながるべきことを示しています。つまり、単発研修ではなく、職種別・役割別に継続改善できる設計が必要ということです。
情報セキュリティ事件・事故が発生するのは、課題設定や施策がなかったからではありません。多くの場合は、外部監査のために表層的なルールを整備するのみの施策にとどまり、従業員が納得感を持って情報セキュリティを「自分ごと」と捉えられるような意識変革につながっていないことが問題なのです。
「リスクが高まっているから注意せよ」と危機感を煽り、年に1度Eラーニングで研修を行っても成果は期待できず、効果も持続しません。まずは経営陣とマネジャー層が対策の必要性について十分理解・腹落ちし、納得感をもって現場の意識・行動改革に取り組んでいくことが情報リスクアセスメント成功の秘訣と言えるでしょう。
情報セキュリティ問題が起きたときの初動と体制つくり
どれだけ予防しても、事故・攻撃をゼロにするのは現実的ではありません。だからこそ「初動」が被害の差を生みます。NISTはインシデント対応(Incident Response)の勘所を整理したガイドや、CSF 2.0に接続した新しいSP(800-61 Rev.3)も出しており、平時から”準備しておく”前提が明確です。
国内の実務としては、JPCERT/CCの「インシデントハンドリングマニュアル」が、CSIRTの対応マニュアル整備を目的に、代表的なインシデント種別と対応の考え方・注意点を示しています。大企業では”個人の頑張り”で回さず、手順と役割を先に決めておくことが重要です。
広報・人事・DX推進(+情シス・法務)で、最低限合意しておきたい項目は次の通りです。
- 誰が「事実確認」を主導するか(ログ、委託先、SaaSベンダ)
- 誰が「報告判断」を主導するか(個人情報保護委員会への漏えい等報告の要件判定)
- 誰が「対外説明」を主導するか(一次報、続報、FAQ、問い合わせ窓口)
- 誰が「社内説明」を主導するか(従業員への注意喚起、再発防止、心理的安全性の確保)
まとめ
情報技術の進展やデバイスの多様化により、情報の流通網は日々拡大の一途をたどっており、情報セキュリティ対策の重要性は今後ますます強まっていくと考えられます。何の気なしにスマートフォンやタブレットをいつでもどこでも操作する社会にあっては、社員一人ひとりが情報を扱う際の危険性を十分認識している場合とそうでない場合とで、会社全体の情報セキュリティリスクが天と地ほども違ってきます。
要するに、CAPDサイクルに基づいて「人」を常に起点として考える情報リスクアセスメントを前提としなければ、情報セキュリティが成立しない時代と言っても過言ではありません。そして、情報リスクアセスメントを委託する際は、仕組みだけではなく目に見えない「社員の感情」や「組織文化」までを対象にし、そこから抽出された問題に対して具体的な施策の立案や実行まで相談できるベンダーを選ぶことをおすすめします。私たちソフィアは、人と組織を熟知した組織変革のプロフェッショナルとして、皆様の良き伴走者でありたいと考えています。
最後に、2026年の”現実の脅威”として、ランサム、サプライチェーン、内部不正、リモートワーク環境に加え、AI利用に伴うリスクが主要論点として挙がっています。DXの推進において、利活用と統制をセットで設計することが、最短距離の対策になるでしょう。
もっと具体的に知りたい、困りごとがあるという方は、情報リスクアセスメント(設計〜実行)と、社内ポータルを軸にした浸透施策(教育・コンテンツ・効果測定)をセットで考えると、現場が”回る”形に落とし込みやすくなります。弊社ソフィアの調査結果(フル_IC実態調査2024_材料)も踏まえ、貴社の状況に合わせた進め方をご提案できます。どうぞお気軽にお問い合わせください。
