2018.03.27
プレスリリース
JIPDECとITRが「企業IT利活用動向調査2018の速報結果を発表
国内企業の情報セキュリティ対策は経営上の重要課題へ 個人情報の匿名加工化情報の扱いや第三者提供への関心は増加するも、 GDPRには早急な対応が必要
2018年3月27日
一般財団法人日本情報経済社会推進協会 (法人番号:1010405009403)
株式会社アイ・ティ・アール (法人番号:3011101047117)
一般財団法人日本情報経済社会推進協会(JIPDEC、会長 牧野 力)と株式会社アイ・ティ・アール(ITR、代表取締役 内山悟志)は本日、国内企業693社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2018」の一部結果を速報として発表いたします。
本調査では、情報セキュリティにまつわるインシデントの認知状況や情報セキュリティ対策の取り組み状況、2018年5月から施行予定のGDPR(EU一般データ保護規則)への対応状況、働き方改革への取り組みなどについて調査・分析しています。
■特徴的な情報セキュリティ・インシデントの認知率増加に伴い、セキュリティ対応は経営上の重要課題へ
まず、定点観測している「過去1年間に認知した情報セキュリティ・インシデントの種類」については、特徴的なインシデントにおいて増加傾向が見られ、国内企業が現実的なセキュリティの脅威にさらされていることが明らかになりました。「社内PCのマルウェア感染」は例年通り最も認知されているインシデントとなっていますが、今年は特徴的なインシデントとして「公開サーバ等に対するDDoS攻撃」「内部不正による個人情報の漏洩・滅失」「外部からのなりすましメールの受信」の認知率が上昇しています(図1)。
図1.過去1年間に認知した情報セキュリティ・インシデントの種類(経年比較)
特に「外部からのなりすましメールの受信」については、従業員規模別のいずれの規模でも認知率が増加しています。2017年から国内において金銭をだまし取るビジネスメール詐欺(BEC:Business E-mail Compromise)による被害が出始めたことから、早急な対応が求められます(図2)。また「公開サーバ等に対するDDoS攻撃」も全ての従業員規模で増加しており、2020年東京五輪に向けた攻撃の予兆がうかがえます。
図2.セキュリティ・インシデントの認知状況(従業員規模別、経年比較)
続いて、セキュリティ・リスクの重視度合いを問うた結果、「標的型のサイバー攻撃」および「内部犯行による重要情報の漏洩・消失」については、「極めて重視しており、経営陣からも最優先で対応するよう求められている」との回答が2016年以降年々増加しており、今回はともに3割を超えました(図3)。また2017年11月のサイバーセキュリティ経営ガイドラインの改定に伴い、経営層のセキュリティ対策への関与が高まっているといえます。調査ではITガバナンス・内部統制対策に関する費用、個人情報保護対策に関する費用が、中堅・中小企業でも増加している結果が見られました。
図3.セキュリティ・リスクの重視度合い(経年比較)
■改正個人情報保護法は匿名加工情報の扱い、第三者提供への関心が増加
今回の調査では、改正個人情報保護法の施行後の対応状況についても着目しました(図4)。まず改正法の内容について関心を持っている項目としては、「匿名加工情報の定義と範囲、取扱い」「個人データの第三者提供」が年々増加している結果となりました。改正個人情報保護法への対応が終了した企業では、今後は匿名加工情報を利用してビジネスに貢献することに注力すると予測されます。しかしながら改正法への対応状況について問うたところ、8割弱の企業は2017年度(2018年3月)までに対応を完了させる見込みですが、依然としていつまでに完了できるかわからない企業も2割強存在し、課題といえます(図5)。
図4.改正個人情報保護法の内容への関心度(経年比較)
図5.改正個人情報保護法の対応状況(経年比較)
■EUのプライバシー規制への対応はいまだ不十分
一方、海外のプライバシー規制への対応については課題も浮き彫りとなりました。特に厳しいプライバシー規制を設けていることで知られるEU域内に事業拠点または顧客をもつ企業(153社)に対して、EU域内居住者の個人情報の域外への移転を制限する「GDPR(EU一般データ保護規則、2018年5月から施行予定)」への対応状況を問うたところ、約4割が「GDPRの存在を初めて知った」または「GDPRの存在は知っているが、勤務先がどのように対応しているかは知らない」とし、規制対応にIT/セキュリティ責任者が十分に関与していない実態が明らかとなりました。また、「GDPRに触れぬよう、個人情報は移転しないようにしている」が9.2%、「GDPRを特に気にすることなく個人情報の移転を行っている」との回答が15.0%存在し、「GDPRにのっとったかたちで適正に個人情報の移転を行っている」は26.1%にとどまりました(図6)。同規則ではインシデントが発生した場合には、72時間以内に報告義務が必要となることなどから、対象となる企業では早急な対応が求められます。
図6.EUのプライバシー規制への対応状況
■経営課題として「働き方改革」への関心は高まりつつあるが、対策の整備状況は微増
昨年に引き続き、政府が推進する「働き方改革」も調査対象に加えました。その結果、従業員の「働き方改革が経営目標として掲げられている」企業の割合は2017年の26.8%から2018年は34.2%に増加しています。しかしながら、「テレワークの制度が整備されている」および「在宅勤務制度が整備されている」企業の割合は微増にとどまりました(図7)。
図7.働き方改革と具体的施策への取り組み状況(経年比較)
-----------------------------------------------------
調査結果を受けて、ITRのシニア・アナリスト大杉豊は、「今回の調査では、特徴的な情報セキュリティ・インシデントが大企業だけでなく、中堅および中小クラスの企業でも認知が拡大していることが確認されました。セキュリティ上の脅威を現実のものとして捉える企業の裾野が2020年の東京五輪へ向けてより広がっており、セキュリティは大きな経営課題となっています。その一方で、改正個人情報保護法への対応は8割弱の企業において2017年度中に終了する見込みですが、海外の法規制対応については、GDPRにのっとったかたちで対応ができている企業は約26%にとどまり、いまだ対応が進んでいない企業が大半を占めることから、罰則金が科されるこの法令への早急な対応が求められます。国内企業においては、サイバーセキュリティ経営ガイドラインへの準拠を通じて経営層を巻き込み、全社的なリスク・マネジメントの一環として情報セキュリティへの投資を行う必要があります。特に、インシデントの検知・復旧での能力を向上するために、多様化と複雑化が進む現在のリスクについて改めて捉え直すことから始めることが求められます」と述べています。
■本調査について
本調査は、JIPDECからの依頼に基づき、JIPDECとITRが2018年1月17日から29日にかけて実施したものです。調査は、ITRの独自パネルに対するWebアンケート形式で実施し、従業員数50名以上の国内企業に勤務しIT戦略策定または情報セキュリティ施策に関わる係長職相当職以上の役職者約2,000名に対して回答を呼びかけ、693名の有効回答を得ました(1社1名)。
今回発表した動向だけでなく、情報セキュリティ対策の具体的な取り組み状況、製品/サービスの導入状況、認定/認証制度の取得状況など、広範にわたる調査を実施しています。調査結果の詳細は、JIPDECが2018年5月下旬に発行予定の『JIPDEC IT-Report 2018 Spring』に掲載し、Web公開する予定です。
■JIPDECについて
JIPDECは、1967 年よりわが国の情報化推進の一翼を担い、技術的・制度的課題の解決に向けたさまざまな活動を展開しています。特に、安心安全な情報利活用環境の構築を図るため、プライバシーマーク制度やISMS制度の普及広報、「サイバー法人台帳ROBINS」や「JCAN 証明書」等のインターネットトラスト事業、オープンデータや個人情報の取り扱い等情報の保護と活用に関する調査研究・政策提言等を行っています。
URL: https://www.jipdec.or.jp/
■ITRについて
ITRは、客観・中立を旨としたアナリストの活動をとおして、最新の情報技術(IT)を活かしたビジネスの成長とイノベーションの創出を支援する調査・コンサルティング会社です。戦略策定から、プロジェクトの側方支援、製品・サービスの選定に至るまで、豊富なデータとアナリストの知見と実績に裏打ちされた的確なアドバイスを提供します。2000年からは毎年、国内企業の情報システム責任者に対する『IT投資動向調査』を実施しています。ITRは1994年に設立、東京に本社を置いています。
URL: https://www.itr.co.jp/
--------------------------------------------------------------------------------