|
NSSスマートコンサルティング株式会社(所在地:東京都新宿区、代表取締役:安藤 栄祐)は、業務でPC・ITシステムを扱う会社員を対象に、「企業における情報セキュリティ教育の浸透度と従業員の意識」に関する調査を行いました。 |
|
|
|
毎年、春を迎えると多くの企業で新入社員に向けた研修がスタートします。 |
|
その中でも、ビジネスのデジタル化が加速する現代において、「情報セキュリティ教育」は組織を守るための最も重要なプログラムの一つです。 |
|
|
|
特に昨今は、2025年に相次いで報じられた大企業への大規模なサイバー攻撃や、急増しているCEO詐欺(経営層を装ったビジネスメール詐欺)など、手口が巧妙化しています。 |
|
こうした脅威から自社を守るためには、システム面での対策だけでなく、従業員一人ひとりにおけるリテラシーの向上が欠かせません。 |
|
|
|
一方で、研修で学んだ知識を日々の業務でいかに実践・継続していくかは、複雑化する情報セキュリティ対策と、スピードが求められる忙しい日常業務の狭間で生じる、組織全体の共通課題と言えます。 |
|
|
|
そこで今回、各種ISOの新規取得・運用サポートサイト『ISOプロ』(https://activation-service.jp/iso/)を運営するNSSスマートコンサルティング株式会社は、業務でPC・ITシステムを扱う会社員を対象に、「企業における情報セキュリティ教育の浸透度と従業員の意識」に関する調査を行いました。 |
|
|
|
調査概要:「企業における情報セキュリティ教育の浸透度と従業員の意識」に関する調査 |
|
【調査期間】2026年3月18日(水)~2026年3月19日(木) |
|
【調査方法】PRIZMA(https://www.prizma-link.com/press)によるインターネット調査 |
|
【調査人数】1,025人 |
|
【調査対象】調査回答時に業務でPC・ITシステムを扱う会社員と回答したモニター |
|
【調査元】NSSスマートコンサルティング株式会社(https://activation-service.jp/iso/) |
|
【モニター提供元】サクリサ |
|
|
|
|
|
約4割が情報セキュリティ教育を定期的に受講するも、専門用語が難しく約6割が『内容をなんとなく理解している』にとどまる結果に |
|
|
|
|
|
|
|
はじめに、「勤務先で、入社時やその後の定期的な研修で情報セキュリティ教育を受講した経験はあるか」と尋ねたところ、下記のような回答結果となりました。 |
|
|
|
『入社時およびその後の定期的な研修を受講している(41.9%)』 |
|
『入社時の研修のみ受講した(13.8%)』 |
|
『定期的な研修のみ受講している(17.3%)』 |
|
『どちらも受講したことがない(27.0%)』 |
|
|
|
入社時と定期的な研修の両方を受講している方が約4割となる一方で、入社時のみで教育がストップしている方も1割以上存在することが示されました。 |
|
全く受講経験がない方も約3割いることを踏まえると、企業間で情報セキュリティ教育の取り組みにばらつきがある様子がうかがえます。 |
|
|
|
では、実際に入社時に情報セキュリティ教育を受講した方は、その内容をどのように受け止めているのでしょうか。 |
|
|
|
前問で『入社時およびその後の定期的な研修を受講している』『入社時の研修のみ受講した』と回答した方に、「入社時に情報セキュリティ教育を受講した際、当時の率直な感想や状況として最も近いもの」について尋ねたところ、『内容が専門的で難しく、実際の業務でどう気をつければいいかイメージできなかった(20.5%)』が最も多く、『「やってはいけないこと」が明確になり、安心して業務に取り組めると感じた(20.3%)』『覚える業務やルールが多すぎて、情報セキュリティのことまで頭が回らなかった(17.0%)』と続きました。 |
|
|
|
情報セキュリティ教育によって安心感を得る方がいる一方で、専門用語の難しさや情報過多により、実務との結びつきをイメージできていない方が一定数いることがうかがえます。 |
|
入社時は覚えるべき業務が多く、情報セキュリティの優先順位が下がりやすい状況にあると考えられます。 |
|
|
|
では、実際に情報セキュリティ教育の内容はどの程度定着しているのでしょうか。 |
|
ここからは、情報セキュリティ教育の受講経験について『入社時およびその後の定期的な研修を受講している』『入社時の研修のみ受講した』『定期的な研修のみ受講している』と回答した方にうかがいました。 |
|
|
|
|
|
|
|
「勤務先で実施された情報セキュリティ教育の内容について、どの程度理解しているか」と尋ねたところ、約9割が『内容を具体的に理解している(30.4%)』『内容をなんとなく理解している(58.7%)』と回答しました。 |
|
|
|
多くの方が情報セキュリティ教育の内容を理解していると回答しました。 |
|
一方で『内容をなんとなく理解している』と回答した層が約6割を占めていることから、理解の深さにはばらつきがあることがうかがえます。 |
|
|
|
では、情報セキュリティ教育は日々の業務でどの程度役に立っているのでしょうか。 |
|
|
|
「日々の業務の中で『気をつけよう』と意識するきっかけとして、勤務先の情報セキュリティ教育はどれくらい役に立っているか」と尋ねたところ、約9割が『とても役に立っている(29.1%)』『ある程度役に立っている(62.1%)』と回答しました。 |
|
|
|
大多数が「役に立っている」と回答したことから、情報セキュリティ教育が従業員の危機意識の向上や、日常業務における注意喚起につながっていることがうかがえます。 |
|
また、情報セキュリティ教育の内容の理解度とあわせて見ると、情報セキュリティ教育は組織全体の情報セキュリティ意識の向上につながっていると考えられます。 |
|
|
|
|
|
「わかっているのに、つい…」情報セキュリティリスクにつながる行動と2割が「報告せず自ら解決」という二次被害のリスク |
|
|
|
では、知識や社内ルールなどはどの程度理解できているのでしょうか。 |
|
再び全員にうかがいました。 |
|
|
|
|
|
|
|
「情報セキュリティに関する知識や社内ルールのうち、いくつ内容を理解できているか」と尋ねたところ、『パスワードの適切な設定・管理(使い回しの禁止など)と、多要素認証の仕組み(57.2%)』が最も多く、『フィッシング詐欺や不審なメール・URLの識別方法(55.5%)』『業務における社内情報(個人情報、機密情報など)の適切な取り扱いルール(46.6%)』と続きました。 |
|
|
|
|
|
日常業務で頻繁に触れるパスワード管理や不審メールの識別、社内情報の適切な取り扱いといった項目が上位に挙げられました。 |
|
これらは日々のPC操作や業務に直結する内容であるため、従業員にとって身近で意識しやすい内容であると考えられます。 |
|
この結果から、実務に密接に関わるセキュリティ知識から優先的に現場へ浸透していく傾向がうかがえます。 |
|
|
|
では、これまでに情報セキュリティリスクにつながる可能性のある行動を取った経験はあるのでしょうか。 |
|
|
|
|
|
|
|
「これまでに、業務中に情報セキュリティリスクにつながる可能性のある行動を『ついやってしまった』経験はあるか」と尋ねたところ、『パスワードを使い回したり、簡単なものを設定したりした(18.5%)』が最も多く、『不審なメールだと疑いつつも開封した(10.4%)』『業務上不必要なファイルをダウンロードした(8.6%)』と続きました。 |
|
|
|
前問で理解度が高かったパスワード管理や不審メールの識別に関する行動に加え、業務上不必要なファイルのダウンロードなどを「ついやってしまった」という方が一定数いることが示されました。 |
|
セキュリティルールを頭では十分に理解していても、日々の業務の忙しさや気の緩みから、無意識のうちにリスクのある行動をとってしまったと推察されます。 |
|
|
|
なぜ、このような行動をとってしまったのでしょうか。 |
|
|
|
前問で『特にない』と回答した方以外に、「情報セキュリティリスクにつながる可能性のある行動を『ついやってしまった』理由」について尋ねたところ、『業務が立て込んでおり、急いでいたため確認が疎かになったから(40.2%)』が最も多く、『「自分は大丈夫」「これくらいなら大丈夫だろう」と安易に考えてしまったから(31.9%)』『ルール違反になるかどうか、よくわからなかったから(28.5%)』と続きました。 |
|
|
|
主な理由は、多忙による確認不足や個人の油断であることが明らかとなりました。 |
|
また、「ルール違反になるかわからなかった」という回答も上位に入っており、ルールの周知や理解が十分でない可能性も推察されます。 |
|
|
|
万が一情報セキュリティミスをしてしまった際、従業員はどのように対処するのでしょうか。 |
|
|
|
「万が一、業務中に自身の情報セキュリティミス(不審なメールのクリックや誤送信など)に気づいたとき、最初にとる行動」について尋ねたところ、『すぐに指定の連絡先(上司や情報システム部門など)へ報告する(59.1%)』が最も多く、『まずは自分で解決できないか調べる(19.8%)』『同僚など、話しやすい人に相談する(9.8%)』と続きました。 |
|
|
|
約6割が正しい初動対応である「即時報告」を選んでおり、情報セキュリティ教育で学んだ内容が活かされていることがうかがえます。 |
|
一方で、一部の方は『まずは自分で解決できないか調べる』や『同僚など、話しやすい人に相談する』といった行動を選択しており、対応の遅れが被害の拡大につながる可能性が推察されます。 |
|
そのため、組織全体で迅速な情報共有を促す仕組みや、ミスを責めず報告を評価する心理的安全性の高い環境の整備が重要であると考えられます。 |
|
|
|
|
|
大企業のサイバー被害も「対岸の火事」?従業員が会社に求める「迷わず安全に業務を行うための」仕組みとは |
|
|
|
では、社会全体で起きているサイバー事件に対してはどのような認識を持っているのでしょうか。 |
|
|
|
|
|
|
|
「近年、大企業における大規模なサイバー攻撃や情報漏洩(ランサムウェア被害など)のニュースがありましたが、率直にどのように感じているか」と尋ねたところ、『危機感を抱き、日々の業務でもより慎重になった(41.6%)』が最も多く、『危機感を抱いているが、具体的に何をどう気をつければいいかわからない(33.4%)』『怖いとは思うが、自社が狙われることはないだろうと思う(13.2%)』と続きました。 |
|
|
|
ニュースを通じて多くの方が危機感を抱いている一方で、3割以上がその危機感を具体的な行動に結びつけられていないことが判明しました。 |
|
また、「自社は狙われない」と楽観的に考える方も一定数見られました。 |
|
脅威を「自分ごと」として捉えさせるには、会社側の具体的なリスクシナリオを用いた実践的な啓発が重要であると考えられます。 |
|
|
|
では、不安や課題を解消するため、従業員は会社に何を求めているのでしょうか。 |
|
|
|
「今後、従業員が迷わず安全に業務を行うために、会社側が用意・強化すべきだと思うサポートや環境はどれか」と尋ねたところ、『会社全体で統一されたルールや基準の策定・運用(ISMSなどの国際規格の活用など)(49.2%)』が最も多く、『座学(マニュアルや動画)だけでなく、実際に体験できる実践的な訓練(30.4%)』『誰でも気軽にすぐ聞ける「相談窓口」の明確化(29.3%)』と続きました。 |
|
|
|
従業員が最も求めているのは、誰もが同じ基準で行動できる「統一された明確なルールや基準」であることが判明しました。 |
|
ISMSなどの「国際規格に基づく仕組みづくり」や、座学に加え実際に体験できる「実践的な訓練」、さらに誰でも気軽に相談できる「窓口の整備」といった施策を組み合わせることが、現場の判断のばらつきを減らす助けになると考えられます。 |
|
|
|
|
|
【まとめ】「リテラシー教育×仕組みづくり」サイバー脅威から会社を守る企業が構築すべき情報セキュリティ体制 |
|
|
|
今回の調査で、企業の情報セキュリティ教育の状況と、学んだ知識が日常業務にどのように反映されているかが明らかになりました。 |
|
|
|
半数以上の従業員が入社時に教育を受けているものの、継続的な受講は約4割にとどまっています。 |
|
そして、多くの方が「日々の業務の役に立っている」と感じる一方で、難解な専門用語や業務過多により、約6割が「なんとなくの理解」に留まっているのが実態です。 |
|
|
|
基礎的なセキュリティ意識は確かに根付いているものの、「知識としては理解している」にもかかわらず、多忙や気の緩みから「ついやってしまった」といった情報セキュリティリスクにつながる行動を「ついやってしまった」方も一定数見受けられました。 |
|
さらに、ミス発生時に「自分で解決しようとする」層が一定数存在することは、初動対応の遅れや被害拡大を招く重大なリスク要因と言えます。 |
|
|
|
また、昨今のサイバー攻撃に関する報道は従業員の危機感を高める契機となっていますが、その危機感が「具体的にどう行動すべきか」という明確な対策に結びついていないケースも少なくありません。 |
|
実際に、多くの従業員が会社側に対し、個人の判断に委ねるのではなく「統一されたルールや基準の整備」を求めていることが判明しました。 |
|
|
|
企業が情報資産を安全に守り抜くためには、従業員一人ひとりのセキュリティリテラシーを向上させることはもちろん、個人の意識だけに依存しない仕組みづくりが不可欠です。 |
|
ISMSなどの国際規格をベースとした明確な基準を設け、誰もが迷わず安全に行動できる「組織的な仕組みづくり」へとシフトしていくことが、今まさに求められているのではないでしょうか。 |
|
|
|
|
|
「ISO」の新規取得・運用サポートなら『ISOプロ』 |
|
|
|
|
|
|
|
今回、「企業における情報セキュリティ教育の浸透度と従業員の意識」に関する調査を実施したNSSスマートコンサルティング株式会社は、ISOの新規取得・運用サポートサイト『ISOプロ』(https://activation-service.jp/iso/)を運営しています。 |
|
|
|
「ISO27001」とは、「情報セキュリティの管理に関する国際規格」です。 |
|
2005年にISO(国際標準化機構)とIEC(国際電気標準会議)が共同で制定しました。 |
|
「ISO27001」の目的は、「機密性」「完全性」「可用性」の3つの要素を維持し、企業の情報セキュリティ管理体制を強化することにあります。 |
|
|
|
<【完全版】ISO27001(ISMS)とは?概要や取得方法を簡単に解説> |
|
https://activation-service.jp/iso/column/306 |
|
|
|
<「ISO27001」に関するコラムはこちら> |
|
https://activation-service.jp/iso/column/type-27001?type=gnavi |
|
|
|
「ISO22301」とは、事業継続マネジメントシステム(BCMS)に関する国際規格です。 |
|
自然災害や伝染病、ITシステムの障害などの予測できない非常事態が発生した際にも、事業を継続あるいは中止後にも早期復旧できる体制を構築するために制定されました。 |
|
|
|
<ISO22301(BCMS)とは?概要やメリット、取得企業まで徹底解説> |
|
https://activation-service.jp/iso/column/7377 |
|
|
|
ISOプロは、ISO審査員資格保有者やISO構築コンサルタント経験者が多く所属するISOの専門家集団です。 |
|
|
|
当サイトで発信する情報を通じ、サイト利用者様がISOの構築や運用などISOに関わる業務を円滑に進め、事業の成長につながるよう信頼できる情報発信を提供します。 |
|
|
|
ISOプロについて:https://activation-service.jp/iso/philosophy
|
|
その他ISO各種規格のコラムはこちら:https://activation-service.jp/iso/column
|
|
|
|
『ISOプロが訊く』ISO取得企業へのインタビュー掲載中 |
|
『ISOプロが訊く』とは、ISOを取得した企業様にISOプロがインタビューをする企画です。その企業が、ISOを取得した理由や取得する上での課題、ISOを取得して何が変わったのかをうかがっています。 |
|
ISO運用企業様の生の声をぜひご覧ください。 |
|
|
|
ISOプロが訊く:https://activation-service.jp/iso/interview
|
|
|
|
ISO・HACCPコンサルタント募集中 |
|
ISOプロでは、全国各地のISO・HACCPコンサルタントを募集しています。 |
|
『お客様の実情に合わせた各種ISOやHACCPの構築、運用』をポリシーとして、サポート業務を行っております。 |
|
私たちの想いに共感いただける方、少しでもご興味がある方はぜひお問い合わせください。 |
|
|
|
ISOプロについて:https://activation-service.jp/iso/philosophy
|
|
お問い合わせフォーム:https://activation-service.jp/iso/lp/form-collabo-entry/
|
|
|
|
【会社概要】 |
|
会社名:NSSスマートコンサルティング株式会社 |
|
所在地:東京都新宿区西新宿6-8-1 住友不動産新宿オークタワー21階 |
|
代表者:安藤栄祐 |
|
URL:https://nss-smart-consulting.co.jp/
|
|
事業内容:ISOコンサルティング事業、労務コンサルティング事業、オフィスサポート事業 |
|
NSSスマートコンサルティング株式会社(所在地:東京都新宿区、代表取締役:安藤 栄祐)は、業務でPC・ITシステムを扱う会社員を対象に、「企業における情報セキュリティ教育の浸透度と従業員の意識」に関する調査を行いました。
