標的型メールは見抜くことが難しい。は誤りです

第10話 次回に繋がるフィードバックを得よう

訓練を実施したら、訓練対象者からフィードバックをもらいましょう。貴重な意見は、次のアクションを考えるのにきっと役立つはずです。しかしこれもまた、訓練実施においては厄介な作業の一つです。

なぜなら、こちらが思うほどにはコメントを寄せてはくれないからです。訓練実施後は理解度測定やアンケートを実施して・・・とはよく言われますが、次のアクションに繋がるような結果を得るには、やはり頭をひねって考える必要があります。

アンケートの回答は予定調和的な結果になりやすい

効果測定について考える訓練対象者からフィードバックをもらうための方法として、最も実施しやすいのはアンケートでしょう。

自由に意見を書いてもらうアンケートもありますが、自由に意見を書かせるという方法は、様々な意見が集められる反面、書くのが面倒くさいという欠点が有り、協力関係が構築できていないとなかなか思うようには集めることができません。

そこで、回答者の負担にならないよう、選択式の設問を用意して、当てはまる回答を選んでもらうだけ。とする方法を考えるわけですが、社内で行うアンケートにおいては、この結果は予定調和的なものになりがちです。

というのも、好き勝手な意見を述べても身元が特定されることがない、不特定多数を相手にしたアンケートと違い、社内で行われるアンケートでは、自分が回答した内容が会社に知られてしまうかもしれないという不安がつきまとったり、担当者を賞賛はしても、非難するようなことは憚られるといった気持ちから、無難な回答を選択したり、担当者が喜びそうな回答を選択しがちだからです。

例えば、「訓練は役に立ちましたか?」といった設問であれば、よほど酷い訓練だったか、よほど感動的な訓練でもない限りは、大体が「役に立った」という平凡的な回答に落ち着くものです。

「役に立ちましたか?」と尋ねる主催者側が期待する回答は「役に立った」であり、その意に沿った回答をするのが最も無難な選択であることがわかっている以上、あえて意に反するような回答など、よほどのことが無い限りはしようと思わないからです。

アンケート実施の前に立ちはだかる心理バイアス

また、人には自分を正当化したり、他の人と同じで居たいと思う心理もあります。例えば、「行動として適切と思うもの選びなさい」といった設問があれば、実際にはその様な行動はしないのに、アンケートではその様な行動をすることが適切だと回答したりします。

自分の本能が、間違った行動をしている自分を認めたくないので、アンケート上では「適切な行動」を選択することで、自分を正当化してしまうのです。「理想と現実は違うんだよね」と言えばわかりやすいかもしれません。

このように、アンケートを実施するに際しては、この「心理バイアス」が存在していることをわかった上で行う必要があります。ではどうするか?ですが、その前に、アンケートは何故やるのか?を考えてみたいと思います。

アンケートを実施するのは、訓練の実施方法が適切だったかどうかを確認するためでしょうか?
それとも、訓練の効果がどれくらいあったか?を数値化するためでしょうか?

カークパトリックの4段階評価モデルいずれも正しいように思えますが、そもそも、訓練は何のためにやるのでしょうか?というと、標的型攻撃について従業員全員が正しい知識を持ち、万一攻撃に晒されるようなことがあっても、誰もが適切な対処が取れるようにすること。であるはずです。

つまり、従業員の行動を変えさせること、研修の分野では有名なドナルド・カークパトリックの4段階評価モデルで言うところの「レベル3(Behavior)」に至らせることが、訓練実施の目標ということになるはずです。

「レベル3」に至る手前には「レベル1(Reaction)」「レベル2(Learning)」があるので、まずはそれらを確認する目的で、「訓練を実施して良かったか?」とか、「訓練でどんなことを学べたか?」といったことをアンケートで尋ねるようなことが行われたりしますが、これらの回答が「心理バイアス」によって、予定調和的な回答になりがちであることは、先に述べたとおりです。

行動に至るためには、まずは標的型攻撃について関心を持ってもらい、その脅威や対処方法などについて学習してもらうことが第一に必要ですが、これらの度合いについてアンケートで尋ねてみたところで、それが予定調和的な結果となるのであれば、アンケートによって計測を試みようとすることは、方法としてはあまり適切ではないということになります。

また、どんなに関心を持ち、学習が進んだとしても、それが単なる知識として脳の片隅にしまわれるだけで、実際の行動に繋がるようなことがなければ、関心度合いや学習結果がどんなに高い評価だったとしても意味は無いということになります。

どれだけ関心を持ってもらえたか?や、どれだけ学習内容が身についたか?を測るための指標は必要ですが、それらについては、選択式のアンケートによってストレートに尋ねるというような方法より、もっと別の計測方法を考えることが必要でしょう。

行動に繋がるフィードバックを得ることを狙う

訓練実施の目的は、先にも述べたとおり、個々の従業員が、「訓練によって得た知識や経験を、自発的に具体的な行動として実践するように仕向けること」です。ですから、個々の従業員から得られるフィードバックも、自発的に行動しよう!したい!といった気持ちが感じられるものであることが望ましいと言えます。

このことを考えると、アンケートや理解度測定を実施するにおいては、○×テストを実施して現状の理解度合いを確認する形式で終わらせるのではなく、個々の従業員のモチベーションを刺激し、現状を踏まえて自分はどうしたいか?また、行動に移すに際して何を解決して欲しいと思うか?などを尋ね、訓練をきっかけに湧き上がったモチベーションを、そのまま実践に移してもらえるようにするための支援を会社はしている。ということが伝わるような内容、やり方にすることが望ましいと考えます。

従業員満足度の向上はセキュリティの向上にも繋がる

つまり、カークパトリックの4段階評価で言うところのレベル1(Reaction)とレベル2(Learning)を探る内容を包含しつつ、レベル3(Behavior)を引き出すような内容になっていて、且つ、主催者側の意図は、上から目線で従業員を教育する事ではなく、従業員自身が自分の身を守るための行動を支援することにある。ということが伝わるような内容・やり方であると良いということになります。

文字で書くと何やら難しくなってしまうのですが、図のように描いてみると、レベル3、レベル4に至るための過程というのは、従業員満足度(Employee Satisfaction)の向上にも置き換えができるものであることがわかります。

例えば、従業員の意見を無視して、どのようなデータを持ち出すにしても上長⇒組織長の許可を得なければできないようなガチガチのセキュリティを組んだりすれば、従業員の満足度は低下し、セキュリティの抜け穴を探そうとするような人が出てきたりするものです。

従業員自身がやりたいことをやってもらうために、セキュリティ対策として自身が何をしなければならないか?に気づいてもらい、自分がやるべきだと考える行動を支援するスタンスを取れば、自分の意見が採り入れられ、自分がやりたいことをできることで従業員の満足度が向上し、また、従業員自らが提唱した行動プランを実践することに抵抗感は生まれないので、実践を支援することで自ずとセキュリティレベルが向上していくことが期待できます。

もし、専門業者による訓練サービスの利用を考えていて、業者の選定に迷われているなら、このあたりの話について、業者側がどのような提案をしてくるかが、一つの試金石になるかと思います。

アンケート・理解度測定において抑えておきたいポイント

従業員の自発的な行動を引き出せばよいということがわかっても、実際に引き出すことができなければ、結果に繋げることは当然できません。このためには、行動を阻害する要因となるものは全て取り除く。ということが必要になります。では、「行動を阻害する要因」とは何でしょう?というと、以下のものが挙げられます。

  1. 何をしなければいけないのかわからない。(問題点に対する認識不足)
  2. 何をしたらよいのかわからない。(解決方法に関する知識不足)
  3. 行動の「良否」がわからない。(判断基準が未発達)
  4. 支援してくれる人がいない。(ガイド役の不在)
  5. 行動へのためらいを感じる。(雰囲気の醸成ができていない)
  6. 行動の必要性が感じられない。(予防安全に対する認識が弱い)
  7. 周りがやらない。(孤独感を生み出す状況の存在)
  8. 上手くいかなかったら嫌だ。(恥をかくこと、失敗する事への抵抗)

簡単に言えば、

「何が起こるのか想像できない」ので「何をすればいいかわからない」、
「すべきこと」はわかっても、「やりづらいためにできない」

ということです。とすると、従業員の自発的な行動を引き出すために抑えなければならないポイントとしては、以下ということになってきます。

  1. 標的型攻撃によって何が起きるのか?それに対して何をしなければならないのか?
    をガイドしつつ、自身として何をしなければならないと思うか?
    を考えやすいようにする。
  2. 実際に行動に移そうとした際に、行動の妨げになりそうなこととして何がありそうか?
    をイメージしやすいよう、具体的な状況を想起させ、
    より具体的な阻害要因の情報を引き出しやすいようにする。

実際、これらの情報を引き出すことは一筋縄ではいきませんが、上手く引き出すことができれば、次回に繋がる強力なフィードバックを得ることができそうだと思えてくるのではないでしょうか。

理想は追いつつも、まずはアクションを起こしていくことが大切

さて、アンケートや理解度測定に一工夫凝らし、強力なフィードバックを得られるようにする。と言うのは簡単ですが、実際にやろうとすると大変です。組織によって環境や状況も、文化的な背景も、求められるものも違いますから、どんな組織にも適用できる万能の方法というのはありそうでないものです。

理想を追い求めてばかりで実践しなければ、状況はいつまで経っても変わらないままです。単純に設問を並べただけのアンケートを行っても、実際の行動に繋がるような効果は期待できない、しかし、代替となるようなアイデアも思い浮かばないので、結局何もしない。というのでは、前には決して進めません。

従業員の行動を引き出すのは、何もアンケートや理解度測定ばかりが方法では有りません。実際に走りながら色々な施策を試していくことで、少しづつ変えていくというやり方もあります。大切なことは、どんな小さな事、一見すると目に見えるような効果は期待できないようなことも、やり続けることによって発見を得ていくことで、次に繋げることができるということです。

最初は単純なアンケートだったとしても、そこから小さな改善点・発見を得ることで次に繋げていくことを繰り返していけば、気づいた時には、大きな改善に繋がっている。そういうものです。

考えてばかりで何もしなければいつまでも今のまま。
何かをし続ければ、いずれは現状を変えることができるかもしれない。

さて、あなたならどちらを選ぶでしょうか?

次のページへ

 

←前の記事へ(
→次の記事へ(
サブコンテンツ