kinyukeizai.com

kinyukeizai.com

新入社員の情報漏洩はなぜ起きる昭和上司が残す危険な職場慣行の盲点

by kinyukeizai.com
URLをコピーしました
#情報漏洩 #サイバーセキュリティ #新入社員 #人材育成 #内部統制

はじめに

春の配属シーズンには、新入社員向けのセキュリティ研修が一斉に行われます。ところが、実際の現場で情報漏洩を招くのは、新人個人の知識不足だけではありません。古い仕事の進め方を当然視する上司、口頭中心で曖昧な指示、急ぎを理由にした例外運用が重なると、研修で学んだ基本は簡単に崩れます。

本稿では、こうした旧来型の管理慣行を便宜上「昭和型上司」と呼びます。これは特定の世代を指す言葉ではなく、ルールより属人的な便法を優先する運用の総称です。個人情報保護委員会、IPA、海外の公的機関や新入社員調査をもとに、なぜ「新人と昭和型上司」の組み合わせが危険なのか、企業はどこを改めるべきかを整理します。

漏洩を招く危険な組み合わせ

新人のミスに見えて実は組織問題

個人情報保護委員会の令和6年度年次報告によると、2024年4月1日から2025年3月31日までに、個人情報取扱事業者等の漏えい等事案の処理件数は19,056件でした。前年度の12,120件から大きく増えています。国の行政機関等と地方公共団体等を含めた合計は21,007件に達しました。しかも全体の88.5%は、漏えい等した人数が1,000人以下の事案です。

この数字が示すのは、大規模侵害だけが問題なのではなく、日常業務の小さな事故が大量に積み上がっている現実です。現場で起きる誤送信、設定ミス、持ち出しミス、確認不足は、一見すると個人の失敗に見えます。しかし件数の多さは、個人の注意力だけでは説明しにくい構造問題を示しています。

IPAも、不注意による情報漏洩の要因として、組織規定やプロセスの不備、情報リテラシー不足、本人の多忙や体調、さらに不注意を突く第三者の存在という4つを挙げています。ここで重要なのは、最初に来る要因が「個人の不注意」ではなく、組織設計と業務プロセスの弱さである点です。新人が事故の当事者になっても、根っこは管理側にある場合が少なくありません。

デジタルネイティブ神話の危うさ

新入社員はスマートフォンやSNSに慣れているため、ITやセキュリティにも強いはずだという思い込みがあります。しかし、その前提はかなり危ういものです。JMAMの2025年調査では、新入社員が在宅勤務で感じる課題の1位は「パソコンやITスキルの欠如」でした。日常的にデジタル機器を使っていることと、業務で安全に情報を扱えることは別問題です。

さらに産業能率大学総合研究所の2025年度調査では、新入社員が理想の上司に求める像として「細かくサポートしてくれる」「常に部下を気にとめてくれる」が上位でした。これは、新人が自律的に何でも判断できる前提ではなく、丁寧で具体的な伴走を必要としていることを示します。にもかかわらず、現場で「そのくらい見れば分かる」「前もこうやっていた」と処理されれば、確認や相談の回路は閉じます。

つまり危険なのは、知識の浅い新人そのものではありません。十分な説明を受けていない新人に対し、属人的な便法を当然視する管理者が、近道を指示したり黙認したりする構図です。ここで初めて、漏洩リスクが実務の中で顕在化します。

昭和型上司が増幅するセキュリティリスク

パスワード共有と場当たり運用

昭和型の職場で典型的なのが、「急ぎだから自分のIDで入って」「この共有アカウントを皆で使って」といった運用です。英国NCSCは、業務アカウントを本人以外が使うことや共有パスワードの運用には、権限の逸脱だけでなく、誰が何をしたのかを監査できなくなる重大な問題があると明記しています。これは、事故が起きた後に原因追跡や被害範囲の特定ができなくなるという意味でも深刻です。

IPAの各種ガイドや教材でも、パスワード管理、電子メールのルール、持ち出しの管理、事故対応といった論点は繰り返し扱われています。つまり、現場でありがちな便法は、すでに「把握し、規程化し、教育すべきリスク項目」として整理されているわけです。にもかかわらず、管理職が率先して例外を作れば、研修はその場で形骸化します。

この種の慣行は、情報を守る仕組みではなく、仕事を早く回すための裏口として機能します。新人は上司のやり方を正解だと理解するため、違和感があっても従いやすいのが厄介です。しかも共有IDや私的なファイル転送、USB持ち出しは、平時には便利でも、事故時には責任の所在と被害範囲を曖昧にします。

曖昧な指示と報告しにくい空気

もう1つの危険は、ミスよりも「ミスを隠す空気」です。IPAは2026年3月12日、社長等をかたる詐欺メールに関する相談が、2025年12月16日から2026年3月10日までに106件寄せられたと公表しました。対策として、不審メールの報告手順を社内で整備し、振込時の二重チェックや教育を行うよう求めています。ここで問われているのは、受信者の注意力だけではなく、迷ったときにすぐ相談できる職場設計です。

PPCのFAQでも、個人データを含むメールを誤送信しても、相手が閲覧前に削除したことを確認できれば漏えいに該当しない場合があります。逆に言えば、初動が遅れ、相手の取扱いも確認できなければ、「漏えい又は漏えいのおそれ」として扱われ得ます。事故後の数分、数十分の対応が法務・広報・顧客対応の負担を大きく変えます。

ところが、上司が普段から「まず自分で何とかしろ」「騒ぎを大きくするな」と振る舞っている職場では、新人は報告を先延ばししやすくなります。誤送信、添付ミス、送信先間違い、怪しいメールの開封といった初期段階の事案ほど、心理的安全性の有無で結果が分かれます。漏洩の直接原因が新人の操作だったとしても、被害拡大の原因は報告を妨げる職場文化であることが多いのです。

企業が改めるべき育成と統制

研修を新人だけで終わらせない設計

IPAは、情報セキュリティポイント学習として、経営者・管理者向けコースと従業員向けコースを分けて提供しています。これは、教育対象を新人だけに限定しても不十分だという前提に立った設計です。実際、現場ルールを壊す権限を持つのは管理職であり、例外運用を正当化するのも多くは上位者です。

2026年3月27日に公開されたIPAの中小企業向けガイドライン第4.0版でも、情報セキュリティ対策は経営者が認識し実施すべき指針と、社内で実践する手順の両輪で整理されています。さらに今回の改訂では、情報セキュリティ6か条への見直しに加え、人材確保・育成の実践ガイドブックが付録に追加されました。セキュリティを「担当者の善意」に任せず、経営と育成のテーマとして扱う方向が明確になっています。

新人向け研修で本当に必要なのは、知識の詰め込みよりも、現場で迷ったときの判断基準を短い言葉で共有することです。「共有IDは禁止」「送信前に宛先と添付を再確認」「私物クラウドに置かない」「異常時は5分以内に報告」といった運用ルールを、上司自身が守ることが出発点になります。

事故後対応を前提にした初動体制

IPAの内部不正防止ガイドラインは、基本方針、資産管理、技術的管理、職場環境、事後対策など10の観点で33項目の対策を示しています。ここでのポイントは、悪意ある犯行だけでなく、働き方の変化や退職者増加、組織外での情報取扱い増加まで含めて、管理の仕組みを整える発想です。新人の誤操作も、こうした統制の延長線上で扱うべきです。

企業実務では、事故をゼロにするより、事故を小さく止める仕組みの方が重要です。送信ログ、アクセス権、共有設定、持ち出し申請、報告窓口、初動フローが定まっていれば、被害範囲の特定は早くなります。逆に、口頭承認や慣習的な例外が多い職場では、何が正規手順だったのか後から説明できません。

新人に「気をつけろ」と言うだけでは、統制にはなりません。管理職の指示を記録に残す、権限付与を最小化する、共有ではなく委任で業務を回す、報告者を責めない、といった設計変更こそが実効策です。

注意点・展望

注意したいのは、「昭和型上司」という表現を年齢批判として受け取らないことです。本質は世代ではなく、属人的で検証不能な仕事の進め方にあります。若い管理職でも、共有ID、私的ツール、口頭指示、報告抑制を当たり前にすれば同じリスクを生みます。

今後は、AIやクラウドの普及で、現場判断のスピードはさらに上がります。IPAが近年も内部不正対策や社長等をかたる詐欺メールへの注意喚起を続けている通り、外部攻撃が高度化するほど、内部の曖昧運用は攻撃者にとって使いやすい弱点になります。新人教育を厚くするだけでは不十分で、管理職教育と業務設計の見直しを同時に進める企業ほど、漏洩リスクを下げやすくなります。

まとめ

新入社員が情報漏洩の当事者になりやすいのは、経験が浅いからです。ただし、原因まで新人に押しつけると再発は止まりません。件数増加を踏まえると、問題は個人の注意力より、古い管理慣行と曖昧な例外運用にあります。

企業が優先すべきは、共有しない認証、迷ったらすぐ報告できる空気、管理職を含む反復教育、そして事故後の初動体制です。新人と昭和型上司の危険な組み合わせを断ち切るには、研修資料を増やすより、現場の「当たり前」を作り替えることが近道になります。

参考資料:

関連記事

最新ニュース