セキュリティ教育「受けても行動は変わらない」約5割　LRM調査

LRM株式会社本社（本社：兵庫県神戸市、代表取締役：幸松哲也）は、全国の企業に勤めるビジネスパーソン約1000名を対象に「企業の情報セキュリティ教育に関する調査」を実施した。

調査概要

調査対象：全国の20歳〜69歳の男女（会社経営者・役員・正社員・公務員）
有効回答数：1000サンプル（職位別分析は経営層・管理職・一般社員の987名を対象）
調査期間：2025年12月22日〜12月23日
調査方法：インターネット調査
出典元：LRM株式会社

経営層の「セキュリティインシデント」経験率は一般社員の1.7倍

本調査では、自身のセキュリティ知識について「高い（非常に高い＋まあ高い）」と答えた割合は経営層で65.0%（全体平均：44.1%）だった。経営層の不審メールを見抜く自信についても74.0%（非常に自信あり＋ある程度自信あり）と管理職（54.7%）や一般社員（50.4%）と比較して、突出した結果となった。

しかし、実際の「セキュリティインシデント」「ヒヤリハット」の経験率は経営層が42.9%と、一般社員（25.6%）の約1.7倍に。高いリテラシーを自認している一方で、経験率も高いことが判明した。

約半数が「わかっていても報告しない」　職位別で異なる要因

続いて、不審メールを受信した経験がある層（全体の68.0%）に対し、その後の対応を調査。その結果「常に報告している」と回答した人は、全体で53.1%と約半数にとどまった。

さらに「常に報告している」と回答した人を職位別で見ると、経営層（66.1%）に対し、一般社員（49.1%）では半数以下だった。現場に近い層ほど、報告しない傾向にあることがわかった。報告しない理由としては「面倒（31.8%）」「リスクを感じていない（26.4%）」が上位に。一般社員では「面倒（40.4%）」「リスクを感じていない（29.8%）」と回答した人の割合が、全体を上回った。

一方で、経営層においては、報告を行わない層がごくわずか（10.7%）だった。その要因としては「判断方法がわからない（33.3%）」や「時間がない（33.3%）」が挙がり、「面倒」「リスクを感じていない」と回答した人はいなかった。

セキュリティ教育を受けても「行動が変わらない」5割超に

次に、セキュリティ教育後の変化について質問。その結果「知識はついたが行動は変わっていない（41.6%）」「何も変わっていない（15.4%）」とを合わせると、全体で57.0%が行動変容に至っていない実態が明らかになった。

特にこの傾向は一般社員において顕著だという。「行動が変わった」と回答した割合は37.3%に留まり、経営層（62.3%）と大きな開きが見られた。また、一般社員の約5人に1人が「何も変わっていない（19.1%）」と回答しており、これは経営層の約3倍に達するという。

なお、受講する側が求めているセキュリティ教育の形式としては「自組織の業界や職種に関連する具体的な事例（34.6%）」「実際のサイバー攻撃を模した体験型教育（33.5%）」が上位に挙げられている。

まとめ

調査の結果、経営層の「セキュリティインシデント」の経験率が一般社員を大きく上回る実態や、経営層と一般社員の意識が乖離していること。さらに、セキュリティ教育が、実際の行動変容に結びついていない実態が明らかになった。

今やセキュリティリテラシーの向上は企業に欠かせない取り組みとなっている。本調査結果からは、「定型的な座学ではなく、実践に即したインパクトのある教育設計が行動を変えるカギとなり得る可能性」が示唆された。

また、不審メールなどの報告をより手軽に行える仕組みづくりも重要だろう。組織全体でセキュリティリテラシーを高めるべく、施策の見直しを検討したい。