トレンド解説

ヒューマンエラーとは? 定義や種類を解説 ~情報漏洩の事例や対策も~

アイキャッチ
目次

ヒューマンエラーとは? 定義や種類について解説

ヒューマンエラーはときに重大な事故を引き起こし、多大な損失を招く危険性があります。しかし、ヒューマンエラーを単なる個人の過失やプロ意識の欠如などとして捉えようとすると、本質を見誤ることになります。ヒューマンエラーとは何か、まずはその定義や種類から理解していきましょう。

ヒューマンエラーの定義

ヒューマンエラーとは人間が原因となって起こる失敗や過誤のことです。簡単に「人為的ミス」と言い換えることもできます。

もう少し厳密にヒューマンエラーを定義するなら、「すべきことをしなかった、またはすべきでないことをしたなどの人間の行為によって、意図しない結果が起こること」といえます。

「すべきことをしなかった」とは、本来ならやらなければならなかった行為をつい忘れたり、途中を省いたりして適切に行わなかったために失敗してしまうことです。オミッションエラーとも呼ばれます。

一方、「すべきでないことをした」というのは、やったことが正しくなかったために失敗してしまうことです。選択、順序、時間、質の間違いや失敗によって起こります。コミッションエラーとも呼ばれます。

ヒューマンエラーの種類

ヒューマンエラーには、人間がまったく意図していないのに発生するものと、人間が意図して行動した結果、発生するものとがあります。ヒューマンエラーの分類の仕方にはさまざまなものがありますが、ここではこの2種類による違いについて説明します。

意図しない行動に起因するヒューマンエラー

本人はまったく意図していないのにミスをしてしまうタイプのヒューマンエラーです。よくあるケースとしては、知識不足やスキル不足、不慣れなどによるミスが挙げられます。

本人の未熟さが原因となる以外にも、連絡・連携不足、勘違いなどによるミスもこのカテゴリーに入ります。つまり、適正・適切な目標を掲げていたにもかかわらず、間違った行動をしてしまって結果的に失敗するのが、意図しない行動に起因するヒューマンエラーです。

意図した行動に起因するヒューマンエラー

こちらは本人がある程度の意図を持って行動し、その結果、ミスが起きてしまうタイプのヒューマンエラーです。

例えば定められた規則や手順があるにもかかわらず、疲労、単調な作業による集中力の低下などによってそれらを行わなかったり、別のことをしてしまったりしてミスが起こります。マニュアルの形骸化などによる手順無視、手抜き(この程度なら問題はないと判断して行ったもの)なども同様です。

以上から分かるように、意図した行動に起因するヒューマンエラーは違反行為に近いものです。本人に多少なりとも「まずいかもしれない」という考えがあったとしても、「少しくらいなら大丈夫だろう」という意識が勝ってミスを引き起こしてしまいます。

ヒューマンエラーに含まれないもの

ヒューマンエラーに似ているものの、ヒューマンエラーには含まれないミスもあります。

まず、マニュアルや規則、決められた手順通りに行動し、ミスもなかったけれど、意図しない結果が起こった場合です。これはヒューマンエラーとはいえません。マニュアルや規則そのものが間違っていたか、機械や装置が故障していたか、あるいは何か想定外のことが起きてミスになったと考えられます。ただ、マニュアルの作成者がミスをして必要な手順を書いていなかったのだとしたら、その段階でヒューマンエラーが起きていたとはいえます。

また、意図した行動に起因するヒューマンエラーに似たケースで、不適正・不適切な目標を掲げてその通りに行動し、引き起こした故意のミスもまたヒューマンエラーには含まれません。悪意ある失敗は犯罪につながる行為であり、適切ではない行動とそのものが目的化しているからです。

ヒューマンエラー対策を考えるときの注意点

意図しない行動によるヒューマンエラーと意図した行動に起因するヒューマンエラーでは取るべき対策が異なります。

意図しない行動によるヒューマンエラーの原因は、知識やスキルの不足、思い違い、不注意などにあります。これを防ぐには、従業員の研修や教育をしっかりと行うこと、段階を追って経験を積めるような仕組みを作ること、マニュアルや規則を整備することなどの対策が求められます。

意図した行動に起因するヒューマンエラーは手順の無視や手抜きが原因です。ミスをするときの心理状況を探ると、「大丈夫だろう」という慢心や過信、アバウトさなどがあることがほとんどです。

そうした心理状況は、作業を終えるまでの時間がないとき、作業が単調すぎるまたは複雑すぎるとき、組織に安全重視の考えや空気が欠落しているとき、生産性・効率性・スピードばかりが重視されるときなどに起こりやすくなります。そのため対策としても、職場環境や企業風土の見直しから行う必要があるかもしれません。

いずれにせよ、ヒューマンエラーはミスした本人を叱ったり、「安全第一」などのお題目を掲げたりするだけでたやすく改善できるものではありません。どこに原因があるのかを深掘りし、それを踏まえてヒューマンエラーが起きにくい仕組みや環境を作り、少しずつエラーを減らしていくことが重要です。

人間はミスをしてしまいます。ヒューマンエラーを完全に防止することはできません。しかしヒューマンエラーを極力減らしていくことは可能です。今一度、ヒューマンエラー対策について考えてみてはいかがでしょうか。

ファイルサーバでのヒューマンエラー

ファイルサーバは、複数人で共有ファイルを編集、保存します。グループ間での認識違いや、他人への配慮不足、利用者の操作ミスにより、データを消去してしまったり、場所を変えてしまったりして、ファイルが行方不明になることがしばしばあります。そのような場合でも確実にデータを取り戻せる機能があれば、事故を防ぐことができます。データの冗長化やファイル操作監視などに不安がある場合は環境の見直しを行うのはどうでしょうか。

企業で多発? ヒューマンエラーが原因の情報漏えいの防止策とは

さまざまな企業でヒューマンエラーによる情報漏えいが発生しています。ヒューマンエラーによる情報漏えいはなぜ起こるのか、それに対しどのような防止策が有効なのか、セキュリティ対策と同様に必要とされるヒューマンエラー対策について解説します。

ヒューマンエラーが原因の情報漏えい

情報漏えいと聞くと、多くの人がサイバー攻撃による不正アクセスによって情報を盗み取られるケースを思い浮かべるのではないでしょうか。しかし最も多い原因は、実はヒューマンエラーです。

JNSA(日本ネットワークセキュリティ協会)が発表しているデータによると、情報漏えいの原因は「紛失・置き忘れ」や「誤操作」、「管理ミス」、「設定ミス」などのヒューマンエラーによるものが大半を占めています。「不正アクセス」に「盗難」、「内部犯罪・内部不正行為」、「不正な情報持ち出し」を併せても、ヒューマンエラーと呼べる項目の合計の半分にも達しません。

つまりこれは、情報を管理・運用している企業の人間の手によるミスによって、情報が漏れているということを意味しています。情報漏えい対策を考えるときは、まずこのことをしっかりと頭に入れておく必要があります。

ヒューマンエラーによる情報漏えい事例

具体的にヒューマンエラーによる情報漏えいの事例を見てみましょう。

紛失・置き忘れ

個人情報や顧客情報が入ったノートパソコンやUSBメモリを紛失したり、置き忘れたりすることで情報漏えいが生じるケースです。出先や帰宅してからも仕事をするために情報を持ち出す機会が多いほどこのような危険性は高くなります。最近では仕事に使用しているスマートフォンやタブレットの紛失・置き忘れも増えています。

誤操作

誤操作の中でよくあるのが、重要データが書かれたメールを誤った相手先に送ってしまうケースです。単に送信先を間違えるだけではなく、間違った書類を添付する、CCの記述をミスするなどのヒューマンエラーが起きることもあります。

メール以外でも誤操作は起こります。ファイルサーバーに保存している重要データを、作業を行うためにローカルPCに保存し、作業終了後に削除するつもりが完全に削除されていなかったというケースも誤操作の一種でしょう。また、完全なバックアップを取っていないデータを削除してしまうという誤操作も考えられます。

管理ミス

管理ミスは、作業手順やデータの扱いに関するルールが未整備、あるいはルールはあるもののそれが守られなかったなどの理由で情報漏えいが起きてしまうものを指します。紛失・置き忘れの事例も、そもそも重要データを持ち出し可能にしていること自体に問題があった、というケースが少なくありません。

また、社用のパソコンをセキュリティ性の低い公衆Wi-Fiに接続する、重要情報を保存していた記憶装置や媒体を、ファイル削除をしただけで未処理のまま捨ててしまう、などのケースも管理ミスの典型です。

設定ミス

設定ミスもさまざまな局面で起こります。商品の購入者宛ての自動送信メールがちょっとした設定ミスで他の顧客に誤送信された、ファイルサーバーの重要データを収納しているフォルダのアクセス権の設定を誤って外部から閲覧可能な状態になっていたという例もあります。

セキュリティに関しても、あまりに複雑な設定をユーザーに課するような設計になっていると設定ミスが起きる可能性が増大します。クラウドストレージを利用している場合などは、認証情報が漏洩してしまうと大量のデータが流出してしまう危険性があります。

ヒューマンエラーによる情報漏えいの防止策

ほとんどの企業はヒューマンエラーによる情報漏えいを防ぐためのルールを定めているはずです。そもそも守るべきルールがなければ、重要データに対する取り扱いは人によってバラバラということになってしまいます。

問題はルール自体が正しく整備されていて、なおかつそのルールが厳格に守られるかどうかです。ルールは最初から完全なものが用意できるとは限らないので、運用を通して何か問題点が判明した場合は随時アップデートしていく必要があります。また、従業員に対しては、ヒューマンエラーによる情報漏えいのリスクに関する基本知識、情報の取り扱い方、ルールについて具体的な内容と注意ポイントなどについて周知をしていきます。

ルールが形骸化して「少しくらいなら守らなくても大丈夫だろう」という考えに至ってしまうことによるヒューマンエラーが起きないようにすることも大事です。ルールが守られているかどうかをチェックする担当者や仕組みを作ることが求められます。

デジタルデータを多く活用している企業では、ヒューマンエラーが起こりにくいIT環境の整備も不可欠です。例えばデータを編集すると自動的に編集内容が複数のファイルにも反映されるようなシステムを使えば、転記などの作業が不要になってミスを減らすことができます。

また、ファイルサーバーからのデータの持ち出しやローカルPCへの保存はできない設定にすることも可能です。フォルダのアクセス制限も、フォルダ構造の作り方を工夫することでシンプルに行うことができます。アクセスログをしっかりと取り、アクセス状況を検知できる仕組みを導入することも効果的です。

情報漏えいを防ぐには、その主要な原因であるヒューマンエラーを少しでも減らすことが非常に重要です。セキュリティ対策とともに、ヒューマンエラー対策にも手間と時間をかけ、本腰を入れて取り組むべきでしょう。

低い会社は危険? 社員のITリテラシー向上が必要な理由

企業のセキュリティに問題が生じたり、何かしらの不祥事が起きたりする原因の多くに、社員のITリテラシーの低さが関係しています。また、社員のITリテラシーが低い会社は、業務の生産性もまた低い傾向があるともいわれています。ITリテラシーとはどのようなもので、何を行えば向上させられるのか、そのポイントをご紹介します。

ITリテラシーとは

ITリテラシーとは、コンピュータやインターネット、さらにそれらを利用して得られる情報を使いこなすための知識や能力のことです。

もともとリテラシー(Literacy)は読み書きの能力(識字能力)を表す言葉です。日本では、そこから特定分野の利用能力を表すときに使われるようになりました。

ITリテラシーに近い言葉には、情報リテラシー、インターネット(ネット)リテラシー、メディアリテラシーなどがあります。またITの知識や活用能力があり、マナーなどにも通じていることを「ITリテラシーが高い」、逆を「ITリテラシーが低い」などと表現します。

社員のITリテラシー向上が必要な理由

社員のITリテラシーが低い場合、会社で次のような問題が起こる可能性があります。

例えば、セキュリティに関する知識がなければ、不用意にスパムメールの添付ファイルを開いたり、URLリンクを踏んだりする可能性が高くなります。そのせいでマルウェアに感染し、会社のシステムに侵入されてしまうなどの事態を招くかもしれません。あるいはIDやパスワードの使い回し、USBメモリによる情報の持ち出しなどの行為の危険性を正しく理解していないために、重要な情報を漏えいさせてしまう事態も起こり得ます。

SNSを利用して企業アカウントから情報を発信する際にも、ITリテラシー(もしくはネットリテラシー)はたびたび問題となります。担当者のITリテラシーが低かったために、ちょっとしたことがきっかけで不適切な発言や対応をしてしまい、炎上トラブルに発展するようなケースもあります。この場合、担当者は単にSNSの機能や操作方法についてのみ通じていればよいというわけにはいきません。インターネットを使ったコミュニケーションにおけるマナー、言葉遣い、配慮の仕方、スタンスの取り方、コンプライアンス知識なども重要です。

また、社員がプライベートでSNSを使用するときに勤務先が分かるような投稿をし、なおかつ不適切な発言をしたことが炎上につながることもあります。

ITリテラシーにはさまざまなレベルや領域がありますが、最低でも、使用するハードウェアやソフトウェアについての基本操作、インターネットや業務システムに関する基礎知識、ネットコミュニケーションにおけるマナーとルール、セキュリティにかかわる注意事項などについては身につけていることが求められます。

ITリテラシーの向上がもたらすメリット

ITリテラシーの向上が具体的にどのようなメリットをもたらすのかを見てみましょう。大きく分けると、ITリテラシー向上には、IT活用による生産性や効率性の向上と、安全かつ適正なIT運用という2つの利点があります。

ITを使用する業務の生産性向上

コンピュータ、スマートフォンなどのモバイルデバイス、業務システム(基幹システム)、クラウドサービスなど仕事にかかわるIT機器やサービスを使いこなすスキルが高いほど、業務の生産性は向上します。

例えばパソコンの場合、よく使うアプリケーションのカスタマイズ方法やキーボードショートカット、Tipsと呼ばれるようなコツや小技に精通しているほど生産性は上がるでしょう。ただそこまでではなくても、トラブルが起きたときに社内SEなどに対処法を聞き、内容を理解して実行できる知識があるかないかだけでも大きな違いが生じます。

情報収集の効率化

パソコンやスマホ、インターネット、データベースに関するリテラシーが高ければ、必要な情報を素早く探し出すことができます。しかも誤った情報に惑わされることなく、正確性の高い情報を選択できるでしょう。

セキュリティ強化

メールやサイトの使い方に始まり、IDとパスワードの管理の仕方、パソコン、スマホ、記憶メディアの使い方に至るまで、ITリテラシーの高さがセキュリティの強化に直結するシーンは数多くあります。パスワードを付箋に書いてモニターに貼っておくというのもリテラシーの低い行為といえるでしょう。

不祥事の防止

個人情報の取り扱い、ソフトウェアライセンスの管理、SNSやチャットツールの活用方法、ネットコミュニケーションのマナーやルール、その他のITに関連したコンプライアンス知識がしっかりと身についていれば、昨今多発しているIT絡みの企業不祥事の防止につながります。

社員のITリテラシーを高める方法

社員のITリテラシーを高めるには、日常の業務の中で指導をするだけではなく、社員がITリテラシー教育を受ける機会を設けることが有効です。

多くの企業では新人研修の中にITリテラシーに関するプログラムを用意しています。しかし同時に、部門ごとや役職ごとにも業務に合わせた研修プログラムを組み、定期的に研修を実施すべきです。また社会的に問題となった事例や社内でのヒヤリハット事例があった場合には、その都度、社員に対して注意喚起などのアナウンスをするとよいでしょう。

すでにITリテラシーは高いと思っている人でも、その油断が危険を招くこともあります。ITリテラシーが求められる状況は常に変化するという前提のもと、社員のITリテラシーを高く保つよう対策を立てることが重要です。

記事を書いた人

ソリトンシステムズ・マーケティングチーム