「毎回のログインでスマホを確認するのが面倒くさい」
「業務のスピードが落ちるから、多要素認証(MFA)を解除してほしい」
社内のセキュリティ強化のために多要素認証(MFA)や二要素認証(2FA)を導入したものの、現場の従業員からこのような不満や反発をぶつけられ、運用の定着に頭を悩ませているIT担当者や総務の方は非常に多く見られます。
情シス部門としては「会社をサイバー攻撃から守るため」に必須の対策として導入したMFA。
しかし、現場の従業員にとっては「ただログインの手間が増えただけ」と受け止められがちであり、この「温度差」が原因で設定をスキップされたり、ルールが形骸化したりするリスクが常に付きまといます。
現場の反発を抑え、スムーズにMFAを受け入れてもらうためには、単にルールを強制するのではなく、
「なぜ必要なのか」
「どれほど大きなリスクを防いでいるのか」
を従業員の目線に立って、分かりやすく説明することが極めて重要です。
本記事では、MFAを嫌がる社員を納得させるための説明のポイントと、そのままメールやチャットで使える「社内周知用テンプレート」を解説します。
1. なぜ社員はMFAを嫌がるのか?不満の背景にある4つの心理
まずは、現場の従業員がなぜMFAに対してネガティブな反応を示すのか、その心理的な原因を整理します。ここを理解することが、納得してもらうための説明の第一歩です。
原因①:純粋に「ログインの手間・面倒くささ」が増した
これまでパスワードだけで1秒でログインできていたシステムに対し、スマホを取り出して認証アプリを起動したり、SMSのコードを確認したりするステップが加わることは、日常業務の中で純粋に「面倒なタスク」として捉えられます。
原因②:「パスワードを複雑にしていれば安全」という誤解
「自分は推測されにくい複雑なパスワードを設定しているから大丈夫」「使い回しもしていないのに、なぜこれ以上面倒なことをしなければいけないのか」という、これまでの古いセキュリティ常識に基づいた誤解が不満に繋がっています。
原因③:私物のスマートフォンを使うことへの心理的抵抗
会社支給のスマートフォンがない場合、従業員の個人端末(私物スマホ)に認証アプリをインストールしてもらう運用を採ることがあります。この際、「プライベートの端末を仕事に監視されるのではないか」「データが覗き見られるのではないか」という不安が反発を生むケースが多々あります。
原因④:生体データ(顔の形など)の取り扱いや流出への不安
近年、PCの起動やアプリのログインに「顔認証」や「指紋認証」といった生体情報を組み合わせるケースが増えています。
しかし、一部の従業員からは、
「自分の顔のデータが会社にどのように管理・保管されているのか分からない」
「万が一、会社のサーバーから自分の生体データが漏洩したら、一生変更できないので取り返しがつかない」
といった、プライバシーやセキュリティの根本的な仕組みに対する不安が反発に繋がっているケースがあります。
2. 反発を納得に変える!心を動かす4つの説明例
従業員からの代表的な「嫌がる声」に対して、情シスや管理職が返すベき、実務的かつ説得力のある説明例です。
【ケース①】「パスワードを強固にしているからMFAは不要では?」と言われたら
- 説明のコツ:現在のサイバー攻撃(フィッシング詐欺やAI悪用の巧妙なメール)の前では、「どれほど複雑なパスワードであっても、人間である以上、騙されて入力させられてしまうリスクがある」という事実を伝えます。
- トーク例:「〇〇さんのパスワード管理が完璧であっても、実在する取引先を装った偽のログイン画面に騙されて、うっかり入力してしまう被害が急増しています。MFAは、万が一パスワードが相手に盗まれてしまっても、〇〇さんの手元にあるスマホの承認がなければ絶対にログインさせない、会社とあなたを守る『最後の砦』なんです」
【ケース②】「私物スマホに会社のアプリを入れたくない」と言われたら
- 説明のコツ:認証アプリの技術的な仕組み(個人情報へのアクセス権限がないこと)を客観的・冷静に説明し、プライバシー上の不安(ガバナンスへの不信感)を取り除きます。
- トーク例:「不安にさせてしまい申し訳ありません。今回導入する認証アプリ(Google/Microsoft Authenticatorなど)は、単に『時間ごとに変わる数字のコード』を表示するだけの機械であり、スマホ内の写真やLINE、位置情報といった個人データにアクセスする機能は一切ありません。会社があなたのスマホを覗き見ることは技術的に不可能ですので、安心してご利用ください」
【ケース③】「業務が忙しいのに、毎回の手間が苦痛だ」と言われたら
- 説明のコツ:MFAの手間と、万が一不正アクセスに遭った際の「業務停止の社会的インパクト」を天秤にかけ、冷静に比較させます。
- トーク例:「ログインの数秒の手間はお手数をおかけします。ですが、もしMFAを外してアカウントが乗っ取られた場合、会社のシステムが数日間にわたって全面停止し、〇〇さんの通常業務だけでなく、全社の取引先への対応がストップしてしまう甚大なリスクがあります。会社全体の安全(ガバナンス)を維持するための数秒として、どうかご協力をお願いします」
【ケース④】「自分の顔のデータ(生体情報)が会社に悪用されたり流出したりしないか不安」と言われたら
- 説明のコツ:多くのビジネス用PC(Windows HelloやMacのFace IDなど)において、「顔の画像(写真)そのものが会社や外部のサーバーに送信・保管されるわけではない」という技術的な安全性の仕組みをわかりやすく伝え、プライバシー上の不安(ガバナンスへの不信感)を取り除きます。
- トーク例:「顔認証の設定に不安を感じさせてしまい申し訳ありません。実は、パソコンで設定する顔認証は、皆様の『顔写真のデータ』そのものを会社のサーバーに保存しているわけではありません。お顔の特徴を暗号化された特殊なコード(数値)に変換し、皆様が今お使いの手元のパソコン内の安全な専用チップの中にだけ保管されます。会社が皆様の顔写真を覗き見ることも、それが外部に流出することも技術的にあり得ませんので、どうぞ安心して設定してください」
3. そのまま使える!「MFA導入・周知メール」テンプレート
社内へMFAの義務化や設定を案内する際、そのままコピー&ペーストして使える周知文面です。
チャットツール(LINE WORKS、Slack、Chatworkなど)や社内メールでご活用ください。
【件名】【重要・全社員へ】セキュリティ強化に伴う「多要素認証(MFA)」設定のお願い
社員の皆様
お疲れ様です。情報システム部門(総務部)の〇〇です。
近年、実在する取引先を装った偽メールや、高度なサイバー攻撃によるアカウントの乗っ取り被害が社会的に急増しています。これらは、どれほど複雑なパスワードを設定していても、うっかり騙されて盗まれてしまうケースが後を絶ちません。
そこで、会社の大切な情報と、皆様の日々の業務の安全を守るための強固なガバナンス体制として、本日より**【すべての社内システムにおける多要素認証(MFA)の設定を必須化】**することといたしました。
毎回のログイン時にスマートフォン等での確認作業が発生し、お手数をおかけいたしますが、万が一パスワードが漏洩しても不正アクセスを100%近くブロックできる、会社を守るための非常に重要な対策です。ご理解とご協力をお願い申し上げます。
■ 実施いただきたいこと 各自、添付のマニュアルに沿って、お使いの端末(または私物スマートフォン)へ認証アプリをインストールし、初期設定を【〇月〇日(〇)まで】に完了させてください。
※私物スマートフォンに認証アプリを導入いただく場合、アプリは「使い捨ての暗号コード」を表示するだけの機能であり、スマホ内の写真や個人情報、位置データ等に会社がアクセスすることは技術的に一切ございません。プライバシーは完全に保護されますのでご安心ください。
お忙しいところ大変恐縮ですが、組織の安全と社会的信頼を維持するための基本動作として、全員例外なく期限内のご対応をお願いいたします。ご不明な点がございましたら、いつでも情シス部門までお問い合わせください。
4. 現場の反発を最小限に抑える「オンデマンド動画教材」の活用
このような周知文面を配信しても、ITが苦手な従業員や多忙な現場からは「テキストのマニュアルを読むのが面倒で進まない」「設定手順がよく分からなくて結局放置している」という声が上がり、情シスへの問い合わせ(サポート工数)がパンクしてしまうことがよくあります。
この導入の摩擦を解消するための最も投資対効果(コスパ)が高い方法が、「体系立てられたオンデマンドの動画教材」を組み合わせた導入サポートの仕組み化です。
- 実際のスマートフォンの操作画面を「視覚的」に見せる: 「QRコードをどう読み取るのか」「認証アプリの画面のどこをタップするのか」を、実際の端末操作をキャプチャした動画教材(オンデマンド研修)で解説します。従業員は、自分の業務用端末で動画を一時停止や巻き戻ししながら自分のペースで設定を進められるため、操作の迷いが激減します。
- 「なぜやるのか」の教育を動画に委ね、ガバナンスを敷く: 毎回、情シスが一人ひとりの席に行って「MFAの必要性」を口頭で説明して回る必要はありません。動画の中で「パスワードだけの危険性」と「MFAの効果」を分かりやすくパッケージ化して受講させることで、全員が納得した状態でスムーズに設定・運用を受け入れる体制が構築されます。
よくある質問(FAQ)
Q. どうしても私物スマホへのアプリインストールを拒否する社員がいる場合、どのような安全の選択肢がありますか?
A. 会社支給のスマートフォンがない場合、PCのUSBポートに挿して指紋やボタンで認証を行う「セキュリティキー(YubiKeyなど)」を物理的に配布するか、PC自体の生体認証機能(Windows Helloなど)を利用させる方法が現実的です。
例外を作ってパスワードだけの運用を許してしまうと、そこが組織全体のセキュリティホール(弱点)となり、適切なガバナンスが崩壊するため、物理デバイスの支給等の代替案で一律の義務化を維持することが推奨されます。
Q. MFAを設定させた後、従業員が「スマートフォンを紛失・忘却」した場合、情シスはどう対応すべきですか?
A. 認証端末を紛失した職員から連絡があった場合は、即座に管理者のコントロールパネルから該当アカウントのMFA設定を一時的にリセット(解除)し、バックアップコード等を用いた本人確認の後に再設定を行う手順をマニュアル化しておくことが適切な対応と想定されます。
この際の「本人確認の手順」を厳格にしておかないと、攻撃者が本人を装ってMFA解除を申請してくる(ソーシャルエンジニアリング)リスクがあるため注意が必要です。
まとめ
多要素認証(MFA)を嫌がる社員への対応の本質は、ルールを強権的に押し付けることではなく、「ログインの数秒の手間が、会社全体を壊滅的なサイバー被害から守るための、プロとしての必須の基本動作である」という文化を組織内に築くことにあります。
- 現場が嫌がる理由は「手間の増加」「古い常識による誤解」「プライバシーへの不安」の3つ
- 「パスワードは盗まれる前提であること」「個人情報は覗き見られないこと」を論理的に説明する
- 周知メールには、実施の背景とプライバシー保護の事実を明記したテンプレートを活用する
- スムーズな一斉設定と導入負担の軽減には、操作をステップで見せる「オンデマンド動画教材」の活用が有効
情報セキュリティ研修をご検討中の方へ
当サイトでは、MFAの社内導入や、従業員のセキュリティリテラシー向上をスムーズに進めるための以下のサービスをご提供しています。
- 研修動画パッケージ(買い切り型・社内配信可能)
- 講師派遣による対面・オンライン研修
- 社内啓発・注意喚起に活用できる無料「情報セキュリティ10箇条」ポスター
動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレートも付属しており、担当者様の導入・運用負担を最小限に抑えながら、全社一律の「やりっぱなしにしない教育体制」の構築に役立ちます。
料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。
と二要素認証(2FA)の違いとは?-160x90.png)

リスクと、総務・情シスが定めるべきルール-160x90.png)
はなぜ必要?社員に面倒くさがられないための説明のコツ-160x90.png)



と二要素認証(2FA)の違いとは?-120x68.png)
