一般財団法人日本情報経済社会推進協会（以下、JIPDEC）が2026年1月に実施した「企業IT利活用動向調査2026」（調査協力：株式会社アイ・ティ・アール）集計結果をもとに、日本国内のIT利活用とセキュリティの実態を株式会社アイ・ティ・アール（ITR）の取締役/プリンシパル・アナリスト入谷光浩氏に分析・解説いただきました。

本ページでは、調査項目ごとの考察と全体総括・提言をご紹介しています。詳細な調査分析レポートは、各章ページまたは全文PDFをご覧ください。

• 「企業IT利活用動向調査2026」から見る日本企業のDX、AI活用、ランサムウェア被害の実態　集計結果分析レポート全文（PDF）
  ファイルをダウンロード
• 「企業IT利活用動向調査2026」集計結果ファイルをダウンロード

• 【プレスリリース】「ランサムウェア感染被害経験は45%、中小企業もランサムウェア被害の対象に」『企業IT利活用動向調査2026』結果（ランサムウェア被害状況編）公表
• 【プレスリリース】「AI活用成熟度は二極化、入出力データに関する課題感は導入後も継続」『企業IT利活用動向調査2026』結果（AI活用編）公表

株式会社アイ・ティ・アール
取締役/プリンシパル・アナリスト　入谷　光浩氏

1．経営の安定基盤とDX推進が両輪で進んでいる： 最も重視されている経営課題は引き続き業務プロセスの効率化であり、業務のデジタル化・自動化は半数以上の企業で成果が出ている。一方、セキュリティ対策への投資も拡大しており、効率化とリスク管理という経営の安定基盤を固めながら、DXを着実に前進させている企業の姿が浮かび上がっている。

2．DXの全社展開が進む一方、外向きのDXへの転換が次の課題となる： 全社戦略に基づいてDXを実践している企業は過半数を超え、内向きのDXでは全項目で成果率が向上するなど、DXの定着が着実に進んでいる。しかし、外向きのDXは依然として成果が出ていない割合が高く、効率化で培ったデータ・デジタル基盤を事業成長や新たな価値創出へと活かす取り組みへの転換が、次の重要なステップとなる。

3．データ・AIへの関心の高まりが、DXの次フェーズを牽引する： データやAIの活用による新規ビジネスの創出を経営課題として挙げる企業が2025年調査から大きく増加しており、データ・AI活用への投資を本格化させる企業も増え始めている。DXが定着している企業ほど収益や顧客エンゲージメントなど多面的な指標で成果を測定しており、データ・AIの活用がDXの深化と事業変革を加速させる原動力となることが期待される。

4．DX推進の障壁は技術よりも組織・プロセス・文化にある： DXの実践で生じている問題の上位は、組織間の連携不足、既存システムや業務プロセスの複雑さ、既存業務による現場の負荷であり、いずれも2025年調査から悪化している。テクノロジーの導入だけでなく、組織横断的な推進体制の整備、業務プロセスの抜本的な見直し、そして変革を受け入れる企業文化の醸成を一体的に進めることが、DXをさらに高度化させるための鍵となる。

1．AI活用はまだ試行段階にあり、本格活用に向けた取り組みの加速が求められる： AIを実践・活用している企業は全体の3分の1強にとどまっており、業種・規模によって活用の深度に大きな格差が生じている。情報通信や大企業がAI活用を牽引する一方、サービス業や中小企業では検討・試行段階にとどまる企業が多く、AI活用の裾野を広げるための支援や環境整備が重要な課題となっている。

2．DXの推進がAI活用の効果を高める土台となる： DXの実践段階が進むほどAI活用も深化し、より広い業務領域で期待以上の効果が得られる傾向が明確に表れている。特に部門横断的な業務においては、DXによる業務の標準化やデジタル化がAI活用の効果創出に直結している。一方、専門性の高い業務領域ではDXよりも業務固有のノウハウがAI活用の効果に影響しており、業務特性に応じた活用戦略が求められる。

3．AI導入後も続く課題への継続的な対応が不可欠となる： AI導入によって活用目的や効果指標の不明確さは解消される傾向にある一方、セキュリティ対策、データ基盤の整備、プライバシー保護、出力結果の信頼性への不安は導入後も課題として残存している。AIを業務に本格的に組み込んでいくためには、ツールの導入にとどまらず、データ基盤の整備やセキュリティ対策、従業員リテラシーの向上を継続的に推進することが不可欠である。

4．AI活用の拡大に伴い、実効性あるガバナンス体制の構築が急務となる： 組織的なガバナンス体制を整えている企業は約7割に達しているものの、強化が求められる領域として、人間による最終判断の確保と説明可能性、AI固有リスクの管理、経営レベルでの方針整備、データガバナンスが上位に挙げられている。ポリシーの策定にとどまらず、包括的なガバナンスを実効性あるものとして機能させることが、AI活用を安全かつ持続的に推進するうえで重要な取り組みとなる。

1．ランサムウェアはすべての企業が備えるべき経営リスクである： 約2社に1社がランサムウェアの被害を経験しており、業種・規模を問わず現実的な脅威となっている。感染した企業の約8割以上が金銭的被害を受けており、数千万円から億円規模の損失に至るケースも少なくない。身代金を支払っても復旧が保証されない現実を踏まえると、感染を未然に防ぐ予防的な対策と、感染後に迅速に復旧できるバックアップ体制やBCPの整備を経営課題として優先的に位置付けることが不可欠である。

2．サイバー攻撃の巧妙化に対応した多層的なセキュリティ体制への移行が急務となる： ビジネスメール詐欺やフィッシングなどのソーシャルエンジニアリング攻撃が増加しており、サイバー攻撃の手口は年々高度化・多様化している。マルウェア対策ツールやファイアウォールなど従来型の境界防御は広く普及しているものの、高度な監視・検知体制やゼロトラストセキュリティに向けた製品の導入はまだ途上にある企業が多い。侵入を前提とした検知・対応・復旧までを包括する多層的なセキュリティ体制への移行が求められる。

3．内部脅威対策とメールセキュリティの深化が引き続き重要な課題となる： 内部からの情報漏えい対策は基本的な取り組みが広く普及している一方、ログの活用や多要素認証、クラウド環境に対応したデータ保護など、対策の深化が遅れている領域が残っている。また、メールセキュリティではSPF・DKIM・DMARCなどの送受信ドメイン認証の導入が3割台にとどまっており、ビジネスメール詐欺やフィッシング対策の観点から普及の加速が急務となっている。

4．セキュリティ対策は技術的対応だけでなく人的・組織的な取り組みとの一体推進が必要となる： 最も多く経験されているインシデントは従業員によるデータや情報機器の紛失・盗難であり、人的要因によるリスクが根強く残っている。PPAPの利用率が前回調査から上昇しているように、技術的な問題が認識されていても慣習からの脱却が進まないケースも多い。技術的対策の整備と並行して、社員へのセキュリティ教育・研修の継続的な実施と、経営層が主導する組織全体のセキュリティ文化の醸成が、インシデントを減らすための重要な鍵となる。

1．個人情報保護の取り組みは基盤整備から実効性の強化へと移行が求められる： 個人情報保護管理者の任命や社員教育、規程類の整備といった基盤的な取り組みは広く定着しつつある。一方、プライバシー保護ツールの活用や外部認証・監査といった高度な取り組みの普及はまだ限定的であり、責任体制の構築にとどまらず、技術的対策や継続的な監査を通じた実効性の強化が今後の重要な課題となっている。

2．データの越境移転が拡大するなかで、規制対応とデータガバナンスの整備が急務となる： 越境移転を行っている企業は増加傾向にあり、アジア太平洋地域と北米地域を中心にデータの国際的な流通がさらに拡大していく見通しにある。しかし、相手国とのデータ保護基準の不一致や規制対応の複雑さ、送信時のセキュリティへの不安が慢性的な課題として残っており、移転先ごとの法令対応と包括的なデータガバナンス体制の整備が不可欠となっている。

3．CBPRは越境データ移転の信頼基盤として重要性が高まっている： CBPRへの関心は高まっており、特に情報通信、金融・保険、大企業での取得検討が進んでいる。取得の主な動機は取引先からの要請やGDPRと同等の水準の実現であり、ビジネス上の信頼確保に向けた手段として位置付けられている。

4．プライバシーガバナンスは法令遵守を超えた経営課題として定着しつつある： プライバシーガバナンスへの取り組みが従業員・顧客エンゲージメントの向上や売上増加、取引条件のクリアといった具体的な事業成果に結びついている企業が増えており、経営層の意識向上も進んでいる。プライバシーテック（PETs）の認知はまだ限定的であるものの、データ活用とプライバシー保護の両立に向けて、ツールの活用や新技術の理解を深めながら、プライバシーガバナンスを企業価値向上につなげる取り組みを継続的に推進していくことが重要となる。

1．プライバシーマークとISMS認証は裾野を広げていくことが求められる： プライバシーマークとISMS認証の両制度ともに取得済み継続割合が回復傾向にあり、大企業を中心に広く普及している。一方、中小企業や一部の業種では取得率が低く、認知・活用の格差が残っており、認証取得の裾野を広げていくことが重要な課題となっている。

2．認証取得の動機は外部要請への対応が主であり、戦略的活用への転換が求められる： プライバシーマーク、ISMS認証ともに、取引先や顧客からの要請、入札・契約条件への対応が取得の主要動機となっており、自発的・戦略的な取り組みとして位置付けている企業はまだ限定的である。一方、取得による効果として社内のセキュリティ体制整備や従業員意識の向上が着実に上昇しており、認証取得を単なる要件充足にとどめず、組織能力の強化や企業価値向上につなげる視点を持つことが今後の重要な方向性となっている。

3．委託先・クラウド事業者の選定において第三者認証が最重要基準として定着している： 機密情報を扱う業務委託先の選定でも、クラウドサービスの選定においても、第三者認証の取得が最も重視される基準として定着している。加えて、インシデント対応体制の整備を重視する企業が増加傾向にあり、サイバー攻撃リスクの高まりを背景にサプライチェーン全体でのセキュリティ水準の確保に対する要求が高まっていることが示されている。

4．認証の対外的な信頼向上効果は定着しつつあり、社内への実効的な波及効果の拡大が次の課題となる： プライバシーマークとISMS認証の両制度において取引先からの信頼性の向上という対外的な効果の割合は緩やかに低下している一方、社内の情報セキュリティ体制の整備やインシデント対応の迅速化といった社内への実効的な波及効果が着実に上昇している。認証取得を契機に、組織全体のセキュリティ文化の醸成と継続的な改善サイクルの定着へとつなげていくことが、今後の重要な取り組みとなっている。

1．電子契約は企業活動の標準的な基盤として定着段階に入っている： 電子契約の利用率は初めて8割を超え、コロナ禍を契機とした急速な普及期を経て定着段階に入っていることが明確に示されている。事業者（立会人）型と当事者型を契約の性質や重要度に応じて使い分ける運用が広がっており、電子契約の活用が単なる紙契約の代替にとどまらず、契約業務の最適化へと深化しつつある。

2．電子契約の効果はコスト削減・業務効率化から事業価値創出へと広がりつつある： コスト削減や業務負荷軽減という基本的な効果は定着した一方で、契約時のセキュリティ強化、取引先とのビジネス機会の増加、企業の先進性やDXのアピールといった事業価値に関わる効果が上昇傾向にある。電子契約が業務効率化のツールとしてだけでなく、競争力強化や事業拡大に寄与する戦略的な手段として位置付けられるようになってきていることがうかがえる。

3．取引先との調整コストと運用の複雑化が電子契約定着の最大の障壁となっている： 電子契約が広く普及しているにもかかわらず、取引先への対応依頼における説明・調整負荷が最大の課題として残っている。また、紙契約との併用による運用の複雑化や、社内システムとの連携不足も根強い課題であり、電子契約の効果を最大化するためには、業界全体での標準化の推進と社内外のシステム連携の深化が不可欠となっている。

企業を取り巻く経営環境は、デジタル化の加速、サイバー脅威の深刻化、グローバルな規制強化、そしてAIの急速な普及など、かつてないスピードで変化し続けている。こうした環境のなかで、多くの企業は人材不足やコスト増を背景に、既存業務の効率化や組織基盤の安定化を最優先課題として位置付け続けている。一方で、セキュリティ強化への関心が年々高まるとともに、AIによる新規ビジネスの創出を重要課題として挙げる企業も着実に増加している。企業は現在、足元の経営基盤を守りながら、同時にDXとAIによる将来の競争力強化という二つの命題に向き合う局面にある。この両立をどう実現するかが、今後の企業経営における最大の問いである。

DXを実践している企業は着実に増えており、全社戦略に基づくDX推進が過半数の企業に広がっている。内向きのDXでは全項目で成果が出ている割合が上昇するなど定着が進む一方、外向きのDXは依然として成果が出ていない割合が高く、国内DXの大きな課題として残っている。効率化で培ったデータ・デジタル基盤を活かして外向きのDXへと軸足を移し、顧客や市場に新たな価値を提供する取り組みを本格化させることが次の重要なステップとなる。一方、DX推進の障壁として組織間の連携不足や既存システムの複雑さ、現場の業務負荷が課題として顕在化している。テクノロジーの導入と並行して、組織横断的な推進体制の整備と企業文化の変革を一体的に進めることが、DXをさらに高度化させるための鍵となる。

AIの活用は試行・検討段階にとどまっている企業がまだ多く、業種や規模間の格差も大きい。一方で、AIを導入した企業では業務領域を問わず一定の効果が確認されており、DXが定着した企業ほどAI活用の深度が高い傾向も明らかになっている。AI活用を本格化させるためには、DX推進との連動を意識しながら、データ基盤の整備、セキュリティ対策、従業員リテラシーの向上を継続的に推進することが不可欠である。加えて、AIガバナンスの整備が急務となっており、人間による最終判断の確保と説明可能性、AI固有リスクの管理、データガバナンスを柱とした包括的なガバナンス体制を実効性あるものとして機能させることが求められる。

ランサムウェアをはじめとするサイバー攻撃の脅威は深刻さを増しており、約2社に1社が感染を経験している。身代金を支払っても復旧が保証されない現実や、機密情報漏えいを伴うケースの増加、億円規模に及ぶ被害額は、ランサムウェアが経営に直結するリスクであることが、今回の調査結果から改めて示された。また、ビジネスメール詐欺やフィッシングといったソーシャルエンジニアリング攻撃の増加も見過ごすことができない。従来型の境界防御にとどまらず、ゼロトラストの考え方に基づく多層的なセキュリティ体制への移行と、感染を前提としたバックアップ体制やBCPの整備を経営課題として優先的に位置付けることが不可欠である。技術的対策と並行して、社員教育と組織全体のセキュリティ文化の醸成も徹底して進めていく必要がある。

プライバシーガバナンスへの取り組みが事業成果に直結するケースが増えており、経営層の意識向上も進んでいる。プライバシーマークやISMS認証の取得による社内への実効的な波及効果も着実に広がっており、認証取得を単なる要件充足にとどめず、組織能力の強化や企業価値向上につなげる視点が重要となっている。データの越境移転が拡大するなかで、各国規制への対応やCBPRを活用した越境データ流通の信頼基盤の整備も急務となっている。プライバシーガバナンスを法令遵守の枠を超えた経営上の重要課題として位置付け、データ活用とプライバシー保護の両立を推進していくことが、企業の持続的な成長と競争力強化につながっていくと考えられる。

本内容は、筆者自身の調査分析に基づく個人的見解で、JIPDECの公式見解を述べたものではありません。