KnowBe4、調査レポート「日本のヒューマンリスクの現状」を公開：セキュリティインシデントの代償、最多は「従業員の懲戒処分」

ヒューマンリスクとエージェンティックAIのリスクマネジメントを包括的に支援する世界的サイバーセキュリティプラットフォームベンダーであるKnowBe4（ノウビフォー、本社：米国フロリダ州タンパベイ、社長兼CEO：ブライアン・パルマ（Bryan Palma））は本日、最新レポート『日本のヒューマンリスクの現状：AI時代における「人」を守る新しいパラダイム』を公開しました。本レポートでは、日本国内のセキュリティインシデントにおいて「従業員の懲戒処分」が一般的な対応となっており、たとえ偶発的なミスであっても半数近くが処分の対象となっている現状を明らかにしています。

日本国内のサイバーセキュリティリーダー50名および従業員250名を対象に実施した本調査によると、日本のサイバーセキュリティリーダーの94％が、過去１年間に「人」に起因するセキュリティインシデントが増加したと回答しています。特に注目すべきは、セキュリティリーダーが回答したインシデントの結果です。「ブランドイメージの低下」や「規制当局による処罰」といった回答を抑え、「従業員の懲戒処分」が最多となりました。外部からの攻撃に起因するインシデントの51％で懲戒処分が実施されているだけでなく、従業員の偶発的なミスによるものであっても、その49％で懲戒処分が行われており、インシデント後の状況として懲戒処分が一般的な対応となっている実態が浮き彫りとなりました。

一方、こうした処分を主とする対応方針は、従業員が求める姿とは大きくかけ離れています。調査によると、偶発的なインシデントに対して「正式な懲戒処分が必要」と考える従業員はわずか10%、「解雇されるべき」と考える従業員は5%に留まります。対照的に、従業員の57％は「対象別のトレーニングやサポート」を求めており、ミスを責めるのではなく、「ミスから学ぶ文化への転換」を望んでいます。

主な調査結果

・インシデントに伴う懲戒処分と認識の乖離：インシデントの代償として懲戒処分が一般化している一方で、従業員の多くは柔軟な対応を望んでいます。57％がトレーニングを要望しているほか、18％は「特定のシステムへのアクセス制限」など、処罰ではなく実務的な対応を求めています。

・人的セキュリティ確保の難しさ：セキュリティリーダーの96%が「人」を要因とするインシデントへの対策に課題を感じており、そのうち36%はリスクへの対応がインシデント発生後になってしまう「事後対応型」のアプローチを問題視しています。

・脅威ベクトルの変化：セキュリティリーダーの72％が過去１年間において、Eメール関連のインシデントが増加したと回答しています。また、AIアプリケーション(49%)やディープフェイク（24％）に関連する事案も目立っており、攻撃手法の多様化が進んでいます。

・責任認識のギャップ：自社のデータ保護について「従業員全員が責任を負うべき」と考えている従業員は21%に留まります。一方で、49%が「IT・セキュリティチームの責任」、15%が「上級管理職の責任」と回答しており、セキュリティは特定の部署や役職者が担うものという認識が一般的であることが、組織全体のリスクマネジメントにおける課題となっています。

・HRM確立の遅れ：日本においてヒューマンリスクマネジメント（HRM）が「確立されている」と回答した組織はわずか8％で、グローバル平均（16％）の半分に留まりました。従業員のリスクを有効に可視化できている組織も29％に過ぎず、ヒューマンリスクへの構造的な対応は、いまだ限定的であるのが現状です。

「日本のヒューマンリスクの現状」の全文は、こちらよりダウンロード可能です。

また、本レポートのグローバル版はこちらからダウンロードいただけます。

KnowBe4 Japan合同会社　職務執行者社長　力 一浩

今回の調査では、偶発的なミスに対しても約半数が懲戒処分を行うという、日本の厳しい実態が浮き彫りとなりました。しかし、大規模なインシデントほどその本質は組織的要因にあり、個人への処罰だけでリスクを低減することは不可能です。むしろ処罰への恐れは隠蔽を招き、組織の学習機会を奪います。

今後、AI等の新技術を活用する上では、小さなミスを責めるのではなく、そこから得た気づきを組織の知恵として共有する『セキュリティ文化』の形成が不可欠です。罰による管理から、一人ひとりの行動と意識を変容させる文化への転換こそが、真に強靭な防御態勢を築く鍵となります。

調査概要

本調査は、KnowBe4が調査機関Arlington Researchに委託し、2025年8月から9月にかけて実施されました。世界各国のサイバーセキュリティリーダー700名およびセキュリティの責任を持たない一般従業員3,500名を対象としており、本レポートでは、そのうち日本国内で勤務するサイバーセキュリティリーダー50名と従業員250名のデータを抽出・集計しています。

＜KnowBe4 について＞

KnowBe4 は、従業員が日々、より賢明なセキュリティ判断を下せるよう支援します。世界中で70,000 以上のお客様に支持され、セキュリティ文化の強化とヒューマンリスクマネジメントの実現を支援しています。ヒューマンリスクマネジメントのための包括的で AI ドリブンな「ベスト・オブ・スイート」プラットフォームで、人の行動を変容し、最新のサイバー脅威に柔軟に対処できる防御層を構築します。KnowBe4が提供するHRM+プラットフォームには、セキュリティ意識向上およびコンプライアンストレーニング、クラウドメールセキュリティ、リアルタイムコーチング、クラウド型アンチフィッシング、AI ディフェンスエージェントなどが含まれます。AIがビジネスオペレーションにますます組み込まれるようになる中、KnowBe4は、人間とAIエージェントの両方がセキュリティリスクを認識し、対応できるようにトレーニングすることで、現代の従業員を育成します。この統合アプローチを通じて、KnowBe4は従業員の信頼管理と防御戦略をリードしています。詳細はこちらをご確認ください。

LinkedInとXもぜひご覧ください。