組織変革
情報セキュリティ問題は人と文化で防ぐ|意識改革×リスクアセスメント
最終更新日:2022.01.13
目次
DXで情報は価値を生む一方、漏えい・停止は信用と事業を揺るがします。実は多くの情報セキュリティ問題は「仕組み」だけでなく「人」と「文化」に根があります。本記事では情報リスクアセスメントを起点に、社内ポータルを活かした意識・行動変容の進め方を整理します。
まず押さえておきたいのは、情報セキュリティは「攻撃を防ぐこと」だけではない、という点です。NISTの定義では、情報と情報システムを不正なアクセス・利用・開示・破壊等から守り、機密性・完全性・可用性(CIA)を確保することが情報セキュリティの骨格とされています。
つまり「情報セキュリティ問題」とは、情報漏えいだけでなく、改ざん、なりすまし、不正送金、業務停止(可用性の毀損)などを含む”経営のリスク問題”です。経営者の判断と現場の行動が噛み合わなければ、ルールを増やしても実効性が下がってしまいます。
重要性・必要性を感じてDXに取り組む企業は多くあるのにもかかわらず、実際の成功事例が少ない背景には、戦略や予算など多くの要因が関係していると考えられます。なかでも、DXを組織全体へスケールさせていく際の大きな課題となる要素は、これまでの仕事のやり方を変えることに抵抗がある、社内の「反対勢力・抵抗勢力」の存在です。
変革を是とするDX推進側の立場からみると、こうした守旧派は過去の体験にこだわり組織の成長を妨げる「敵対勢力」として認識されがちです。
きっと皆さんのなかにも、大きな声では言えないものの、そのような「反対勢力・抵抗勢力」の存在による推進力低下を感じたことのある方がいらっしゃるのではないでしょうか。
情報セキュリティ問題の定義と分類
DX推進に反対する大きな理由としてよく挙げられるのは、
- デジタルを使いこなせれば便利になるのは理解できるが、ついていけるか不安
- 変えていくのは費用も時間もかかり、投下コストの回収見込みがつきにくい
- 通常の業務を行いながら移行するので、仕事の円滑な遂行を妨げる
- 現状の仕組みでも不自由なく間に合っているので、無理して変える必要性がない
というような意見です。
こうした声が発生する原因は、現場も管理者もDXに対して腹落ちできていないことにあります。
そもそも、DXを推進する主体者は誰なのでしょうか。現場の役割なのか、それとも経営者・管理者が担うべきものなのか。まずはDXという言葉から、DXを推進が誰の役割なのかを考えてみましょう。
DXの概念は、「デジタル(化)」と「トランスフォーメーション」という2つの単語から成立しています。
- デジタル化:デジタルを活用した「業務改善」
→ 本来は現場主導のボトムアップで進めるべきもの - トランスフォーメーション:事業や業務の「変革」
→ トップダウンで全体像を描いて進めるべきもの
デジタル化は、たとえばそれまでタイムカードを用いてアナログで管理していた勤怠管理を、クラウドを使ってスマホやPC上で行うように変更するような事例が当てはまります。これにより、打刻ミスの訂正作業や集計、給与計算など勤怠管理が関係する業務は大きく効率化し、休暇や交通費の申請も書類交付がなくなって、申請者も現場担当もその時間や手間から解放されます。
また、マネジメントの立場から見れば、有給や育児休暇の取得状況、事業所ごとの勤怠状況、アルバイト・パートのワークバランスなど、さまざまな情報が俯瞰的に把握できるようになるため、業務の変革や事業上の判断に資する大きな意味を持ちます。これがすなわち、トランスフォーメーション(変革)です。
「デジタル(化)」と「トランスフォーメーション」の両面で成果をあげるためには、「部署を超えた業務システム全体の視点」と「現場の状況の改善につながる実際的な視点」のどちらもが必要です。
どちらかの視点が欠けている場合は、仮に実業務を熟知している現場から業務改善のアイデアが出されても「費用対効果が明確でない」等の理由で稟議が通らなかったり、逆にトップダウンで進められた新しい仕組みが現場のニーズに合わず、結局誰も使わないなど、面従腹背を生む原因となったりします。
現場主導でもトップダウンでもうまくいかないというジレンマを解消するためには、現場と決裁者のどちらが主体か、という考えを超えて両者を一体とした取り組みを行わなくてはなりません。
そのためには、導入に対して顕在的・潜在的に抵抗する人々の「誰が、どういう理由で反対・抵抗しているのか」を把握し、それぞれの「腹落ち」をうながすことが大切です。
「腹落ち」について、詳しくはこちらをご覧ください
情報セキュリティ問題の定義と分類
情報セキュリティの「問題」は、突き詰めると次のどれか(または複合)に分類できます。どれを守るべきかが曖昧だと、対策も曖昧になりがちですので、まずはここを整理してみましょう。
- 機密性(Confidentiality):見てはいけない人が情報へアクセスしてしまう(漏えい、覗き見、内部不正など)
- 完全性(Integrity):情報が正しくなくなる(改ざん、誤更新、誤送信、マスタ汚染など)
- 可用性(Availability):必要なときに使えなくなる(ランサムウェアによる暗号化、DDoS、障害、オペミスなど)
なお、IPAの「リスク分析シート」でも、情報資産を洗い出し、CIAの観点で重要度を評価する流れが示されています。大企業では部門ごとに保有する情報資産が多く、まず”見える化”がないと議論が始まりません。
企業における情報セキュリティ問題が増加している背景
結論から言えば、守る対象が増え、境界が消え、攻撃・事故の手口も変化しているからです。IPAの「情報セキュリティ10大脅威2026」では、組織向け脅威の上位に「ランサム攻撃」「サプライチェーンや委託先を狙った攻撃」が入り、さらに2026年版では「AIの利用をめぐるサイバーリスク」が初めて選出されています。
つまり、DX推進でSaaS・生成AI・外部委託が増えるほど、”境界内だけを守る”発想では足りなくなってきています。METI/IPAの「サイバーセキュリティ経営ガイドライン」も、経営者のリーダーシップの下でサイバーセキュリティ対策を推進する必要性を明確にしています。
現実には、DXが進むほど「知らないうちに増えるIT(シャドーIT)」や、部門最適のツール導入が起きやすく、統制の難易度が上がる傾向にあります。NIST CSF 2.0も、サイバーリスクを理解・評価・優先付け・コミュニケーションするための枠組みを提供すると説明しています——つまり”話せる共通言語”が必要な時代になっているのです。
情報セキュリティ問題が企業に与える影響
影響は「技術」より「事業」に出ます。特に大企業では、サプライチェーン/委託先/グループ会社へ波及しやすいのが特徴です。IPA 10大脅威でも、サプライチェーン・委託先を狙う攻撃が上位に位置付けられています。
法務・コンプライアンス面では、個人データの漏えい等が起きた場合、要件に該当すると「漏えい等報告」が義務付けられます(個人情報保護委員会)。特に要配慮個人情報、財産的被害のおそれ、不正目的行為による漏えい等は報告対象として整理されています。
また個人情報保護委員会の案内では、ランサムウェア事案による個人データの漏えい等の報告について、令和7年10月1日以降は共通様式による報告が可能になる旨も明記されています。対外対応(広報)と、社内収集(人事・情シス・法務)の連携設計が重要です。
さらに、警察庁の資料でも、2023年(令和5年)はランサムウェア被害が197件と高水準で推移し、ノーウェアランサム(暗号化せず窃取・要求)も新たに確認されたとされています。可用性だけでなく機密性(窃取)にも同時に備える必要がある、という示唆です。
情報セキュリティ問題の原因——技術より人・組織の問題
結論は「人・組織・技術が連鎖する」ですが、引き金としての”人の関与”が大きいのは事実です。たとえばJNSAの個人情報漏えい調査(20143年の例)では、原因の内訳(件数)で「誤操作 34.9%」「管理ミス 32.3%」と「紛失・置忘れ 14.3%」が示され、この32つだけで約8049.2%を占めて(いる約5割)ことになります。
ここが重要なポイントです。技術対策だけで”人のミス”をゼロにすることはできません。JNSAの同調査でも「誤操作」「紛失・置忘れ」はヒューマンエラーであり、教育や手順づくり、そして暗号化などの対策を組み合わせることの重要性が述べられています。
しかし、情報セキュリティにおけるポイントが「人」であると分かってはいても、実際に組織と従業員の意識を変えていくのはなかなか難しいものです。そこに潜む情報セキュリティ上のリスクの識別や分析を戦略的に行う「情報リスクアセスメント」の取り組みが必要になってきます。
この記事では、会社の中の「人」の体験に着目して数多くの企業の組織変革をサポートしてきたソフィアならではの視点で、情報リスクアセスメントにおける重要かつ必要なポイントをご紹介していきます。ぜひ参考にして、実効性のある情報リスク対策にお役立てください。
情報リスクアセスメントの評価対象と実務的な考え方
情報リスクアセスメントは、社内の情報資産を棚卸しし、脅威・脆弱性・影響を踏まえてリスクを評価し、優先順位を付けて対策へつなげる活動です。NIST SP 800-30(リスクアセスメントのガイド)は、リスクアセスメントが全体のリスクマネジメントの一部であり、経営層が適切な意思決定を行うための情報を提供するものと位置付けています。
一般的な情報リスクアセスメントに不足している視点とは
企業のリスク管理において重要な「組織のリスクマネジメントプロセス」の基本要素の1つに、「情報リスクアセスメント」があります。情報リスクアセスメントとは、
- 自社が持つ、あるいは管理するさまざまなレベルの情報を資産と捉え
- それら情報そのもの、および紙や電子メディアなどの記録媒体を扱う状況下において自社や関係社会にどのようなリスクが存在するのかを評価し
- それぞれのリスクの重要度や対応策などをあらかじめ想定しておく
という一連のプロセスを指します。
情報リスクアセスメントは一般に、意思決定者に対して情報リスク管理に役立つ情報を提供し、リスクの重要度や対応策を明確化することによってリスク対応を支援することを目的として実施されます。しかし近年、企業における急速なデジタル化推進により、デジタルツールに不慣れなまま業務で使用する状況が増えている一方で、情報リスクに介在する「人」や部署の数も増えて多様化し、実効性のあるアセスメントの実施が困難な時代が到来しています。
同じ企業で働く従業員とはいえ、情報への感度や、セキュリティに対する意識・行動は一人ひとり異なり、それぞれの意識や行動には「個人の価値観」や「組織の文化・風土」が影響しています。しかし、一般的な情報リスクアセスメントの枠組みでは、この部分が抜けているのです。
インターナルコミュニケーション支援を専門に行う私たちソフィアが、お客様企業から情報リスク対策に関する相談をいただくのは、組織ではたらく「人」の感情や行動、組織の文化・風土を専門としているからこそ、気付けるポイントがあるからなのです。
ここで、上位記事と比較したときに補強すると効果的なのは、情報資産の評価方法を具体化することです。IPAのリスク分析シートでは、情報資産を洗い出し、機密性・完全性・可用性の評価値(例:法律で安全管理義務がある個人情報等は高い評価)を付け、脅威・脆弱性からリスク値を算定する流れが示されています。
大企業のDX推進部門・人事・広報の皆さまにとっては、次の「3つの棚卸し」が実務で効果的です。
- 情報(データ)棚卸し:個人データ/技術情報/取引先情報/経営情報などを分類し、保管場所(SaaS・端末・ファイルサーバ等)まで追う
- 業務プロセス棚卸し:誰が・いつ・どの媒体で扱うか(持ち出し、共有、廃棄まで)
- 人と組織棚卸し:部門ごとの”現実の運用”と、ルールのギャップ(例:現場が忙しすぎて守れない等)
情報セキュリティ問題への対処——最初の一歩
いきなり教育やツール導入から始めると、現場は「また仕事が増える」と捉えがちです。まずは“現状の可視化”から始めることをおすすめします。これは、PDCAよりもCAPD(Check→Act→Plan→Do)で始める発想と整合するものです(現行記事の中核)。
現状把握(Check)で最低限そろえておきたいアウトプットをまとめると、次の通りです。
- 情報資産台帳(どこに、何があるか):IPAのガイドでは「普段見ているデータはどこに保存されているか」を起点に洗い出す考え方が示されています
- 部門別リスク仮説(どこで事故が起きそうか):IPA 10大脅威(ランサム、サプライチェーン、内部不正、リモートワーク等)を”自社文脈”に翻訳する
- 社内の”伝わり方”の把握(ルール以前の前提):ルールが届かない組織では、ルールを増やすほど現場が疲弊します
この「伝わり方(インターナルコミュニケーション)」は、情報セキュリティ対策の実効性を左右する重要な要素です。弊社ソフィアの調査では、従業員1,000人以上企業で社内コミュニケーションに「問題がある」と感じる層が約8割に達しており、情報共有の遅れ・所在不明が上位課題として挙がっています(フル_IC実態調査2024_材料)。
社内ポータル担当者が情報セキュリティ予防に貢献できること
結論は、「ルールを置く場所」ではなく「行動が変わる導線」を設計することです。NIST CSF 2.0が強調するのも、リスクを理解し、優先順位を付け、共通言語でコミュニケーションすることです。社内ポータルはまさに”共通言語の媒体”になり得ます。
社内ポータルで効果を発揮する設計は、次の3つです。人事・広報・DX推進が連携するほど力を発揮します。
「迷わない」:誰が見ても判断できるミニルール
たとえば、ファイル共有・外部送付・生成AI利用・委託先共有の”やってよい/だめ/相談”を1枚にまとめるといった取り組みが有効です。IPAのリスク分析手法は、情報資産・脅威・脆弱性を整理し優先度を決める考え方で、現場の判断基準づくりと相性が良いと言えるでしょう。
「習うより慣れる」:ツール利用とガイドライン整備をセットで
弊社ソフィアの調査では、コミュニケーションツール導入自体は進んでいる一方、活用を妨げる要因として「使い方の教育不足」が上位に挙がっています。さらに、活用促進施策として「セキュリティなどに関するガイドラインの整備と周知」も一定比率で挙がっています(フル_IC実態調査2024_材料)。
ゲーミフィケーションとは?仕事や研修を楽しくする仕組みと企業事例を徹底解説【2026年版】
ゲーミフィケーションとは、ゲームの要素を仕事や研修に応用し、社員のエンゲージメントや生産性を高める手法です。…
「測る」:教育・周知を”やった”で終わらせない
NISTは学習プログラムが行動変容を促し、セキュリティ文化につながるべきこと、そして評価指標(メトリクス)を含むべきことを示しています。社内ポータルは閲覧・検索・完了率などのデータが取りやすく、改善(Act)に戻しやすい特徴があります。
有効な情報セキュリティ対策につなげるアセスメントのあり方とは?
ここからは現行記事の核である「CAPD」を中心に据え、上位記事で不足しがちな”人と文化”の論点を保ちながら、必要情報を補強していきます。
十分な実効性のある情報セキュリティ対策を行うためには、保有している情報資産やルール、ポリシーに対するアセスメントを実施すると同時に、従業員の情報セキュリティ意識に対する調査を行い、「コミュニケーションや組織風土上のリスクを把握する」ことが必要になります。
なぜ「コミュニケーションや組織風土」まで見る必要があるのでしょうか。ISO 31000でも、リスクマネジメントはステークホルダーの関与や人・文化要因の考慮を重視する方向で整理されています。情報セキュリティを”リスクとして経営する”以上、人と文化を外して設計することはできないのです。
プロジェクト管理や業務における品質・生産管理の改善手法の1つとして「PDCA」という言葉を耳にされたことがあるかと思いますが、ここではサイクルの順序を変えた「CAPD」のフレームでプロセスを組み立てていきます。
- P=Plan(計画):目標や計画を立案する
- D=Do(実行):計画に基づき業務を実行する
- C=Check(評価・分析):計画と実績を比較・分析する
- A=Act(改善):現状把握・計測をもとに改善内容を立案する
- C=Check(現状把握・計測):現状の問題点などを把握・計測する
- A=Act(改善):現状把握・計測をもとに改善内容を立案する
- P=Plan(計画):改善案をもとに具体的な施策を計画する
- D=Do(実行):計画に基づき業務を実行する
PDCAサイクルでは最初にPlanがあり、その計画に基づいて進捗と状況把握を行うことで評価・改善と進んでいきます。一方、CAPDサイクルはまず現状把握から始めて問題点や課題を浮き彫りにし、それを基に改善の方向と具体策を立てることで実行につなげます。最初に現状を計測して理解することで、取り組みの目的や、やるべきことが明確になり、具体的なプランにまで落とし込みやすくなります。また、実行段階においても当初のデータがあるため、進捗の度合いや効果を比較しやすく、軌道修正も可能です。その意味で最後のDoから再度Checkに戻り、理想的に回り始めたサイクルはPDCAと同じ形をとります。
情報セキュリティに関するアンケートやヒアリングを実施する
CAPDのスタート地点として、情報セキュリティに関する調査を行います。この工程における第1の目的は、全社員および各部門の業務と知識、そして情報セキュリティに対する意識と心理を可視化することです。
問題が発生する背景には、多くの場合、当事者が「自分ごと」として納得しないままにシステムやルールだけが規定されていく状況があります。ソフィアでは「心が動けば、体が動く」という考えに基づいて、現場の状況を十分に把握し、すべての関係者がセキュリティの問題を「自分ごと」として腹落ちできるような「現状の可視化」を大切にしています。
ここで、上位記事との違いとして「誰を調査対象に入れるか」を明示しておくと説得力が上がります。NIST CSF 2.0でも、供給者(サプライヤ)・外部関係者を含めたリスクの把握と優先順位付けが示唆されています。社内の正社員だけ見ても、現実のリスクは閉じません。
調査の手法には社員アンケートや役員へのヒアリング、中堅層のグループインタビューなどがあり、それぞれの企業に合った方法を採用します。いずれの方法を用いた場合にも、具体的な施策を展開する前の段階から、情報を扱う当事者(現場)を巻き込んでいくことで情報セキュリティ対策に取り組む意義を社内に浸透させ、その目的や重要性の理解を促すことができます。またルールやシステムを作る会社側に対して、「自分たちの意見を汲んでもらえない」「余計な仕事を増やされる」などの不安や不信感を持つ層に対しては、その誤解を解くことができ、協力を促す意味も持つものです。
なお、アンケートやヒアリングなど調査の対象範囲は、正社員だけでなく必ず派遣社員やアルバイト、業務委託先など「セキュリティリスクにかかわるすべての従業者」とする必要があります。情報はいまやサプライチェーン上でシームレスに流通するため、社内だけで管理を徹底しても、関連する流れの一部から情報が流出する危険が残ります。セキュリティリスクは徹底的に洗い出し、課題と優先順位を明確にしてください。
アンケートやヒアリングの結果に基づいて施策を講じる
調査・把握のプロセスによって現状の評価が完了したら、明確化された課題と優先順位に応じて、どのように社内に変化を起こすべきか、施策を検討します。
ここで重要なのは、単なる情報セキュリティ上の課題解決策としてではなく、これまで目に見えてこなかった従業員の心理・意識といった部分をテーブルに乗せ、「サプライチェーンを含めた社内意識変革活動」として情報リスクアセスメントを行うという視点です。
この”意識変革活動”を実装する上で、NISTは学習プログラムが行動変容を促し、文化につながるべきことを示しています。つまり、単発研修ではなく、職種別・役割別に継続改善できる設計が必要です。
情報セキュリティ事件・事故が発生するのは、課題設定や施策がなかったからではありません。多くの場合は、外部監査対策として表層的なルールを整備するのみの施策にとどまり、従業員が納得感を持って情報セキュリティを「自分ごと」と捉えられるような意識変革につながっていないことが問題なのです。
「リスクが高まっているから注意せよ」と危機感を煽り、年に1度Eラーニングで研修を行っても成果は期待できず、効果も持続しません。まずは経営陣とマネジャー層が対策の必要性について十分理解・腹落ちし、納得感をもって現場の意識・行動改革に取り組んでいくことが情報リスクアセスメント成功の秘訣と言えるでしょう。
インシデント発生時の初動対応と体制づくり
どれだけ予防しても、事故・攻撃をゼロにするのは現実的ではありません。だからこそ「初動」が被害の差を生みます。NISTはインシデント対応(Incident Response)の勘所を整理したガイドや、CSF 2.0に接続した新しいSP(800-61 Rev.3)も出しています。平時から”準備しておく”前提が明確です。
国内の実務としては、JPCERT/CCの「インシデントハンドリングマニュアル」が、CSIRTの対応マニュアル整備を目的に、代表的なインシデント種別と対応の考え方・注意点を示しています。大企業では”個人の頑張り”で回さず、手順と役割を先に決めることが重要です。
広報・人事・DX推進(+情シス・法務)で、最低限合意しておきたい項目は次の通りです。
- 誰が「事実確認」を主導するか(ログ、委託先、SaaSベンダ)
- 誰が「報告判断」を主導するか(個人情報保護委員会への漏えい等報告の要件判定)
- 誰が「対外説明」を主導するか(一次報、続報、FAQ、問い合わせ窓口)
- 誰が「社内説明」を主導するか(従業員への注意喚起、再発防止、心理的安全性の確保)
まとめ
情報技術の進展やデバイスの多様化により、情報の流通網は日々拡大の一途をたどっており、情報セキュリティ対策の重要性は今後ますます強まっていくと考えられます。何の気なしにスマートフォンやタブレットをいつでもどこでも操作する社会にあっては、社員一人ひとりが情報を扱う際の危険性を十分認識している場合とそうでない場合とで、会社全体の情報セキュリティリスクが天と地ほども違ってきます。
CAPDサイクルに基づいて「人」を常に起点として考える情報リスクアセスメントを前提としなければ、情報セキュリティが成立しない時代と言っても過言ではありません。そして、情報リスクアセスメントを委託する際は、仕組みだけではなく目に見えない「社員の感情」や「組織文化」までを対象にし、そこから抽出された問題に対して具体的な施策の立案や実行まで相談できるベンダーを選ぶことをおすすめします。私たちソフィアは、人と組織を熟知した組織変革のプロフェッショナルとして、皆様の良き伴走者でありたいと考えています。
最後に、2026年の”現実の脅威”として、ランサム、サプライチェーン、内部不正、リモートワーク環境に加え、AI利用に伴うリスクが主要論点として挙がっています。DXの推進において、利活用と統制をセットで設計することが、最短距離の対策になるでしょう。
情報リスクアセスメント(設計〜実行)と、社内ポータルを軸にした浸透施策(教育・コンテンツ・効果測定)をセットで考えると、現場が”回る”形に落とし込みやすくなります。弊社ソフィアの調査結果(フル_IC実態調査2024_材料)も踏まえ、貴社の状況に合わせた進め方をご提案できます。もっと具体的に知りたい、困りごとがあるという方は、どうぞお気軽にお問い合わせください。
