サイバー攻撃対応「しくじったら懲戒」

解雇妥当と考えるのはわずか5％ (02/07)

『・・・セキュリティ対策が特定の部署や役職に限定された課題として捉えられている状況が浮かび上がった。

・・・

　KnowBe4 Japanの職務執行者社長である力一浩氏は、偶発的なミスにも高い割合で懲戒処分が適用されている点を指摘し、大規模なインシデントほど組織的な要因が背景に存在すると説明した。個人への処罰のみではリスク低減につながらず、処罰への恐れが事実の表出を妨げる可能性にも言及している。AIなど新技術の活用が進む環境下において、ミスから得られた知見を共有する文化の構築が不可欠だとの見解を示した。』

---> 02/18 追記

日本企業のインシデント対応、5割が「従業員の懲戒処分」を実施　外部攻撃や偶発的ミスでも　従業員の6割弱が「ミスを責めるより学ぶ文化」を切望　KnowBe4調査 - ＠IT (02/17)

『　一方で、偶発的なインシデントに対して「正式な懲戒処分が必要」と考える従業員は10％、「解雇されるべき」と考える従業員は5％にとどまっている。対照的に従業員の57％は「対象別のトレーニングやサポート」を求めており、ミスを責めるのではなく「ミスから学ぶ文化への転換」を望んでいた。

　攻撃手法に関しては、セキュリティリーダーの72％が過去1年間において電子メール関連のインシデントが増加したと回答した。またAI（人工知能）アプリケーションに関連する事案は49％、ディープフェイクに関連する事案は24％となっており、攻撃手法の巧妙化が進んでいる状況にある。

...

「処罰への恐れは隠蔽（いんぺい）を招き、組織の学習機会を奪う」と指摘した上で、「AIなどの新技術を活用する上では、小さなミスを責めずに、気付きを組織の知恵として共有する『セキュリティ文化』の形成が不可欠であり、罰による管理から行動と意識を変容させる文化への転換が防御態勢を築く鍵になる」と述べている。』

"正式な懲戒処分"や"解雇"を妥当とするのは、どのようなシナリオ（質問）だろう？
法廷論争にでもなればかえってレピュテーションリスクを高めるのではないか。