新年度が始まり、新入社員の姿が目立つ季節になりました。フレッシュな雰囲気が伝わってくる一方で、この時期に耳にするのが「新入社員や若手社員のSNS投稿がきっかけで、社内情報が外に広がってしまった」といったトラブルです。
投稿した本人に悪意がなくても、「仲間内にだけ見せた（つもり）」「社名や個人情報は出していない（はず）」「投稿はすぐ消した（消えると思っていた）」という感覚で投稿してしまうことは少なくありません。ところが実際には、何らかの形で外部に共有され、広まり、その写真や動画への写り込みや投稿の文脈から勤務先や業務内容が推測され、さらなる拡散や炎上へとつながるケースがあります。その結果として、企業の信用低下や取引先への影響、社内対応コストの増大にまで発展してしまうこともあるのです。
もちろん多くの企業では、機密情報の定義や社内規程、端末・アカウント管理、持ち出しルール、インシデント時の報告経路など、情報セキュリティに関する研修がしっかり実施されているはずです。では、それでもトラブルが起きてしまうのはなぜでしょうか？
ここで考えたいのは「研修を実施したかどうか」ではなく、実際のSNS投稿の場面で「自分で判断できる状態」をつくれていたか、という点です。

知識は大前提。でも“投稿直前の数秒”を支える習慣がカギ

情報セキュリティ研修の土台は、もちろん「知識」です。とはいえ多くの場合、知識を持っていたにもかかわらず、事故が起きてしまっています。これを単純に「知識不足（または指導不足）」として捉えるのは、早計でしょう。
ここで大切なことは、知識と同時に、社会人としてのマインドセットや習慣が身についているかという点です。いくらルール（知識）を理解していても、投稿の瞬間に意識から抜けてしまっていれば、間違った行動が起ります。特に最近のSNSは写真や動画の投稿が中心で、「今撮って、すぐ投稿」という使い方が当たり前になっています。さらに「鍵アカ」「親しい友達限定」「一時公開」といった機能によって、“公開している”という感覚が薄れやすい環境にもなっています。もちろん、実際にはインターネットの世界に“限定”などというものはなく、一度投稿した情報は果てしなく広い世界に向けて公開してしまっていることになるのですが、それを投稿前に想像することができていないのです。

研修で学ぶ知識（ルール）と、実際の行動（SNS投稿）の間にある“すき間”や“ズレ”、ここに事故が起きる要因があります。だからこそ、そのすき間やズレを埋めるために、「知識＋習慣」をセットで身につけてもらう研修設計が重要になります。
このとき、「禁止すれば解決する」とは限りません。「SNSは危険だから使うな」とだけ伝えても、かえって見えないところで使うといった方向に向かってしまいがちです。そのため現実的には、SNSを使うことを前提として「どんな構造で事故が起きるのか」を理解し、投稿直前にブレーキをかけられる行動を身につけてもらうこと（習慣化させること）が効果的です。

「会社を守れ」より「自分を守れ」が響く

この習慣づけを機能させるには、伝え方も重要です。「会社の信用に関わる」「ルールだから守るべき」「違反すれば懲戒」といった正論は大切ですが、人によっては説教や圧力として受け取られてしまうことがあります。
そこでおすすめしたいのが、「自分を守る」という軸で伝えることです。SNSでのトラブルは会社だけの問題ではなく、本人の評価やキャリアにも直結します。「すぐ消した」では取り戻せないこともありますし、「身内だけのつもり」でも拡散してしまえば回収はできません。つまりこれはコンプライアンスの話であると同時に、社会人としての自己防衛のためでもあるのです。
恐怖で縛るのではなく、「投稿前にひと呼吸おく」「写り込みを確認する」「迷ったら相談する（または投稿しない）」といった小さな行動を当たり前にする。ここがハラオチすると、投稿前に自然と立ち止まれるようになります。

“知らないまま教える”をやめる

もう一つ重要なのが、人事・教育担当者側が最新のSNS事情や若手の使い方を把握しているかどうか、ということです。つい先日、ある金融機関で起きた事例では、BeRealというSNS での投稿がきっかけとなり、事務所内部の様子が外部に広がる事態につながりました。このBeRealは、毎日ランダムな通知に合わせてその場で撮影・投稿する“リアル重視”のSNSです。こうした「通知が来たらすぐ投稿する」前提のサービスでは、準備や確認を挟まずに発信されやすく、写り込みのリスクも高まります。鍵アカウントや限定公開であっても、拡散を完全に防ぐことはできません。
こうしたSNSの中身や使われ方といった実態を踏まえずにルールだけを伝えても、現場では機能しにくいものです。まずは人事・教育担当者自身が「今、何が、どう使われているのか」を理解すること。そのうえで社員教育・研修を設計することも、重要なアプローチとなるでしょう。

事故は「個人の注意不足」ではなく「設計」で減らせる

SNS起点の情報漏洩は、単に厳しく取り締まるだけでは防ぎきれません。利用実態やツールの特性、環境が重なれば、誰もが思わぬミスをしてしまう可能性が生じます。だからこそ人事・教育担当者に求められるのは、単に「研修をやったかどうか」という形式的な確認にとどまらず、実際の現場で一人ひとりが判断し行動できる状態にまで落とし込むこと。そのためにも、研修とその前後の「設計」を丁寧に考えることがとても大事です。
もちろん、実際にはすべての企業が理想的な研修設計をできている訳ではありません。しかし、こうした”知識+習慣”をバランスよく組み合わせること、現場で機能させる仕組みに意識を向けることが、効果を大きく左右するポイントとなります。
TACでは、あるお客様からのご相談を受け、可能な限り「知識＋習慣」をセットで身につけるための研修をご提案した事例があります。単なる事例紹介やルール説明にとどまらず、「知識」「自分ゴト化」「習慣形成」の三要素を意識して研修を設計、その研修で得た知識と、実際の行動の間にある“すき間”や“ズレ”を埋めることで、新入社員・若手社員がSNS投稿の場面でも自律的に判断しやすくなるように工夫し、提供しました。

これら3点を具体的な行動に落とし込み、研修で学ぶ知識（ルール）と、実際の行動（SNS投稿）の間にある“すき間”や“ズレ”がなくなるよう、研修を実施したのですが、スマートフォンを手にした新入社員・若手社員の方が、「あ、ここで確認しないといけないんだ！」と言って頂いたときの担当者の方の笑顔が忘れられません。

新入社員・若手社員向けの情報セキュリティ研修を、現場に合った形にアップデートしたいとお考えでしたら、ぜひお気軽にTACへご相談ください。