Scribble at 2026-06-15 14:48:31 Last modified: unmodified

上記で紹介しているのは、或るグローバル企業を対象にして、20,000名の構成員に対するアンケートから得た6,500名ぶんの回答を元に分析している論説だ。調査では、パスワード管理、メールの利用状況、ガバナンスへの適応度など、９つの次元にわたって成熟度が評価された。その結果、組織全体としてのセキュリティに対するカルチャーは部署と職域については殆ど均質であり、属性による違いは極めて小さいか緩やかなものであることが判明したという。ただし、フルタイムの正規従業員、50歳以上の年長の従業員、M&A（企業の合併・買収）によって入社した従業員、そしてラインマネージャーは、多くの評価において一貫して高いスコアを記録しているが、他方でパートタイム従業員、若年層の従業員、外部契約の従業員、そして勤続年数が６年から20年の中堅従業員は、全体的にスコアが低い傾向にあり、特に若年層の従業員は、公共の場でのデバイスの扱いや不審なメールへの警戒心という点で、より手厚いサポートやトレーニングが必要であると指摘されている。昨今は小さなミスや手違いが大きなインシデント（つまりは深刻な事業へのインパクト）につながる場合もあるため、スコアの低かったグループに対して個別のオンボーディング強化や指導、明確なコミュニケーションを行うなど、各属性の多様性に合わせた標的型の改善策を講じることを推奨している。そのためには、中堅層をセキュリティのインフルエンサーとして活用し、専任部署だけでは手が回りにくく日頃からの目くばせも十分でない点をカバーしてもらうのが望ましいとも提案している。

おおむね、これは僕が20年にわたって ISMS やプライバシーマークの監査や審査を受けてきて、審査員に指摘されたり、僕自身も取り組んできた課題である。およそ、一定の業容をもつ組織において、情報セキュリティなり情報管理を担っている実務家は、みんなこのような実情だとか課題を共有していると思う。なので、この論文が報告したり提案している内容に、いわゆる新規性というものは皆無なのだが、やはり現在でも同じ課題があって、同じ提案が続けられているということを確認するだけの意味はあるのだろう。