「年に一度のセキュリティ研修、面倒だけど義務だから…」。多くの企業で、従業員向けのe-learningは「やらなければいけないこと」として認識されがちです。しかし、メルカリではその常識を覆すべく、漫画やPodcastといったユニークな手法で、従業員が「受けたくなる」コンテンツ作りに挑戦しています。

これは、メルカリで「Awareness」と呼ばれるプライバシーとセキュリティの啓発活動の一環です。なぜ彼らは、義務になりがちな研修を「エンターテインメント」にまで昇華させようとしているのか。その背景にある思いと具体的な取り組みについて、中心メンバーである3人に話を聞きました。

「もったいない」から始まった、受けたくなる研修作り

――皆さんが進めている「Awareness」活動について、まずはその背景から教えていただけますか？

@early：僕と@Dannyさんが入社した2022年頃、いわゆる年に一度のコンプライアンス研修を担当することになったのが始まりです。当時、多くの研修が音声もないスライドをただクリックして進める形式で、「全従業員の貴重な時間をもらうのに、これではもったいないな」と感じたんです。

――確かに、スライドを読むだけだと記憶に残りづらいかもしれません。

@early：そうなんです。その一方で、メルカリでは僕の入社当時から@saayaさんが既にオンボーディングSecurity研修で見る人を楽しませる要素も含んだ動画形式で作っていて。工夫せずとも行える研修、工夫するだけで伝わる研修の二択があったとしたら、僕は後者をやりたいなと思ったんです。そういう経緯ではじまり、まずは自分たちが顔を出して、カメラの向こうの従業員に語りかけるような動画形式の研修を始めました。ありがたいことに反響も良く、手応えを感じましたね。

さらに、次年度は社内のプロのビデオグラファーの方にお声がけして、ショートドラマ形式でPrivacy研修を実施することができました。それは今もオンボーディング研修として利用いただいています。

▼1年目（顔出しの一般的な形式の動画研修）*この形式自体は他社でも一般的

▼2年目（ショートドラマ仕立ての動画研修）*1年目より工夫した形式

――そこから、より本格的な活動に繋がっていったのですね。

@early：はい。他社ではキャラクターや漫画を使って、従業員に楽しんでもらう工夫をしている事例を知り、衝撃を受けました。e-learningは形骸化しがちですが、ある企業ではインシデント削減に最も効果があった施策がe-learningだったという話も聞き、その重要性を再認識しました。ただ、従業員に「義務だから」と強制するのではなく、コンテンツを提供する僕らが、99%の人に「喜んで受けたい」と思ってもらえるものを作る責任があるはずだ、と考えを改めたんです。

目的はコンプライアンスの先にある「自由と責任」の両立

――とはいえ、規制要件を満たすためには、全員に受講してもらうことが最優先にもなりそうです。なぜそこまで「面白さ」や「記憶に残ること」を重視するのでしょうか？

@Danny：受講記録を残すことはもちろん必要ですが、それは目的ではありません。本当の目的は、内容を理解し、記憶し、日々の業務に活かしてもらうことです。会社を完全にロックダウンすればセキュリティは完璧かもしれませんが、それでは誰も仕事ができない。

従業員に自由な環境でパフォーマンスを発揮してもらうためには、その分のセキュリティ責任を一人ひとりが担う必要があります。その責任を果たしてもらうため、我々には内容をきちんと「教える」責務がある。だからこそ、記憶に残るコンテンツが必要なんです。

@early：それはメルカリのバリューである「Be a Pro」にも通じます。厳しいルールで縛るのは簡単ですが、それではイノベーションは生まれない。従業員のリテラシーを信頼し、自由と責任のバランスを取る。その土台となる知識をわかりやすく伝えるのが、僕らの役割です。

――では、研修を通じて、従業員にどこまでのレベルを求めているのでしょうか。

@Saaya：研修の中ですべてを完璧に教えるのは不可能ですし、それを目指してもいません。私たちが一番作りたいのは、従業員に業務の中で「あれ、これってプライバシー的に大丈夫かな？」と、ふと立ち止まってもらう瞬間なんです。その時に「そうだ、あのチームに相談してみよう」と思ってもらうこと。それが研修の最も重要なゴールです。

――キャッチーさや分かりやすさを意識されているとのことですが、他に共通したコンセプトはありましたか？例えば、皆さんの知識量が100だとしたら、従業員には15まで覚えてもらう、といった具体的な目標ラインは設定していましたか？

@early：一番言えるのは、「0をなくしたい」ということです。よく「桶の理論」と言われますが、一定の高さまで水を貯めても、組織に一人でも弱点（=穴）があると、そこから漏洩などが起きてしまう。だからプロフェッショナルになることは、もちろん望んでいません。知るべきことが100あったら、まずは5でもいい。中にはマイナスの人もいるかもしれないので、まずは全員をゼロを超えた、ニュートラルな状態に持っていくことを目指しています。

@Danny：私たちセキュリティやプライバシーチームは、警察のように取り締まる怖い存在だと思われがちです。でも責めたりはしないので、どんな些細なことでもいいから相談してほしい。そのために、研修を通じて私たちが相談しやすい雰囲気だと感じてもらえるような工夫を凝らしています。

@early：そういう意味では、研修は僕らのチームのプロモーションでもあるんです。「メルカリには、こういうことを気にかけているチームがいるんだ」と知ってもらう良い機会だと捉えています。

AIで夢が叶った？漫画とPodcast制作の舞台裏

――具体的なコンテンツについても伺わせてください。特に漫画を使った研修はユニークですが、どのように制作されたのでしょうか？

@Saaya：実は、この漫画の絵は私が描いたものではないんです。画像生成AIでキャラクターや絵柄を生成し、私はCLIP STUDIO PAINTというソフトでコマ割りをして、そこに当てはめていきました。シナリオやセリフは@earlyさんが担当です。

@early：小学生の頃、漫画家になるのが夢だったので、AIのおかげで思わぬ形で夢が叶いました（笑）。プライバシーの領域は、法律のルールだけでなく、「お客さまにとってサプライズにならないか」といった道徳的な問いも含まれる、すごく曖昧な分野です。そうしたニュアンスをストーリーで伝えるには、漫画が最適でした。

――Podcastも配信されていますよね？

@Danny：はい。セキュリティとプライバシーに関するPodcastをやっていて、そのテーマソングもAIに作ってもらいました。

@early：最初はセキュリティとプライバシーがテーマでしたが、最近はAIガバナンスの話もするなど、よりカジュアルに、タイムリーな情報発信の場になっています。

▼実際に公開されたPodcastのサムネイルとエピソードの一部

「人間」の判断力がより重要に

――一方で、扱うテーマが重要なだけに、カジュアルにしすぎることで論点がずれる懸念はありませんでしたか？また、毎年教える内容はどのように決めているのでしょうか？

@Danny：年に一度のセキュリティ研修は15分という制約があるので、毎年きちんと企画書から作ります。社内のヒヤリハット傾向、外部団体のリスク情報、そして前年の内容を踏まえ、「教育によって最もリスクを低減できるテーマは何か」を基準にコンテンツを決めています。面白さだけでなく、リスク低減効果の最大化を狙っています。

@early：@Dannyさんのプロセスは、本当にすごいといつも思っています。我々は遊び心も忘れないようにしていて。プライバシーの領域は、細かいルールよりも「世界観」や「価値観のフレームワーク」を共有することが重要なので、アプローチが少し違いますね。ケースバイケースのことが多いので、「あなたならどう思いますか」と問いかけるような構成を意識しています。

――最後に、今後の展望を教えてください。

@early：生成AIの登場で、これまで一部の人しか扱えなかった情報に誰もが触れる可能性が出てきました。だからこそ、一人ひとりのリテラシーや判断力がこれまで以上に重要になります。リスクは増えますが、AIを使えば高品質なコンテンツを早く作れるようにもなった。AIでリスクを啓発し、AIでガバナンスを効かせる、この両面で活用していきたいです。

@Saaya：今回生み出した漫画のキャラクターを使って、Slack上で注意喚起をしてくれるBotを試作しています。より親しみやすい形で、みんなのリテラシー向上をサポートできるような仕組みを作っていきたいですね。

写真：タケシタ トモヒロ　文：中森りほ