2019.03.26
プレスリリース
GDPR未対応企業が3割超に上り、個人情報のグローバル対応が課題に インシデント認知率ではWeb不正アクセスとなりすましメールが増加
— JIPDECとITRが「企業IT利活用動向調査2019」の速報結果を発表 —
2019年3月26日
一般財団法人日本情報経済社会推進協会 (法人番号:1010405009403)
株式会社アイ・ティ・アール (法人番号:3011101047117)
一般財団法人日本情報経済社会推進協会(所在地:東京都港区、会長:杉山 秀二、以下、JIPDEC)と株式会社アイ・ティ・アール(所在地:東京都新宿区、代表取締役:三浦 元裕、以下、ITR)は本日、国内企業686社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2019」の一部結果を速報として発表いたします。
本調査では、情報セキュリティにまつわるインシデントの認知状況や個人情報保護法改正およびJIS Q 15001改訂の影響、2018年に施行されたGDPR(EU一般データ保護規則)への対応状況を含むグローバルでのセキュリティガバナンスの状況、総務省パスワード変更不要見解への対応状況などについて調査・分析しています。
■情報セキュリティ・インシデントの認知率では、なりすましメールとWebサイトの不正アクセスが増加
過去1年間の情報セキュリティ・インシデントの認知状況では、「社内PCのマルウェア感染」、および情報機器、モバイル用PC、スマートフォン、携帯電話、タブレットの紛失・盗難が高い比率となりましたが、経年で比較すると、2019年は「Webサイトへの不正アクセス」(13.1%)や「外部からのなりすましメールの受信」(17.8%)が増加しています(図1)。これは標的型攻撃やビジネスメール詐欺の増加を反映していると言え、従来型のマルウェア感染や機器類の紛失・盗難への対策に加え、このような新しいサイバー攻撃への対策が必要となっていると考えられます。
図1.過去1年間に認知した情報セキュリティ・インシデントの種類(経年比較)
■情報セキュリティに関する支出では、認証取得にかける費用が増加
来る2019年度に向けたセキュリティ関連支出の増減傾向は、全体を通して増加を見込む割合が2割前後、横ばいが5割強と横並びとなりました。その中で増加する見込みが最も高かったのは「セキュリティ関連の認証取得に関する費用」(27.4%)であり、減少する見込みも最も低く(3.8%)、他の項目と比較して支出に前向きな傾向が見られました(図2)。自社の情報セキュリティレベルが十分なレベルにあることを、顧客や取引先に対して示すことが重視されていると見られます。
図2.2019年度のセキュリティ支出の増減予想
■改正個人情報保護法対応では、個人識別符号に対する関心が増加
2017年5月の個人情報保護法の改正、同年12月のJIS Q 15001(個人情報保護マネジメントシステム)の改訂から1年以上が経過し、改正内容について特に関心のある項目を問うたところ、「個人識別符号の定義と範囲、取扱い」(39.9%)が最も高く、「要配慮個人情報の定義と範囲、取扱い」(30.5%)、「匿名加工情報の定義と範囲、取扱い」(27.0%)が続く結果となりました(図3)。法改正を巡っては、当初はマーケティング用途によるビッグデータ分析のために個人情報の匿名化(非特定化)が注目されていましたが、従業員のマイナンバーの取扱いなど、幅広い企業が影響を受ける個人識別符号のほうに、より関心が集中したと見られます。
図3.改正個人情報保護法およびJIS Q 15001の改訂内容についての関心度合い
■GDPRは、いまだに3割超が未対応
2018年5月に施行されたGDPRへの対応状況についても前年に続いて調査しました。前年調査では施行前ということもあり、「存在を初めて知った」(11.1%)や「勤務先がどのように対応しているか知らない」(30.7%)と、「GDPRを気にすることなく移転を行っている」(15.0%)といった未対応の企業が半数を超えていました。施行後に実施した今回の調査では、「GDPRにのっとったかたちで適正に個人情報の移転を行っている」企業が前年より8ポイント増加し34.4%を占めました。しかし、一方で、「知っているが何も対応していない」(13.5%)、「GDPRを気にすることなく個人情報の移転を行っている」(19.8%)と、現在も未対応の企業が3割超を占めました(図4)。
GDPRを巡っては、本調査実施中の2019年1月末に、個人情報保護法にGDPR補完ルールを追加することで十分性認定の合意が成立したことから、国内企業における対応のハードルは下がりました。しかしその一方で、日本と、たとえば中国などアジア諸国との取引に対してEU域外との取引の制限を受けることになるため、依然としてGDPR対応は重要な課題であり続けるといえます。
図4.GDPRの対応状況の変化(2018年~2019年)
■総務省のパスワード定期変更不要の見解に対して、5割以上が定期変更を継続
2018年3月に総務省からパスワードの定期的な変更は不要、との見解が示されたことを受けて、本調査では、企業において定期変更を中止したかを確認しました。その結果、この総務省の見解を受けて、「定期変更を止めた」とした企業はわずか8.0%にとどまり、「これまで通りパスワードの定期変更を行っている」が54.5%と半数以上を占める結果となりました(図5)。また、定期変更を止めて「他の認証を追加した」(6.4%)、「他の認証に変更した」(1.3%)、「複数認証の組み合わせ(多要素認証)に変更した」(5.5%)など、パスワードの定期変更を中止して認証方式の高度化に取り組んだ企業が1割強存在します。
パスワード認証は、単純にすれば破られやすく、複雑にすれば覚えにくく利便性が悪くなるという本質的な問題を抱えています。定期的な変更は、パスワードの単純化や使い回しを助長し、かえって脆弱性を増大させるというのが米NIST(国立標準技術研究所)および総務省の見解です。企業においては、こうしたパスワード認証の問題点に対する理解と、他の認証方式との組み合わせ(多要素認証など)の採用が望まれます。
図5.総務省のパスワード変更不要の見解への対応
-----------------------------------------------------
調査結果を受けて、ITRのシニア・アナリスト 藤 俊満は、「今回の調査において、情報セキュリティ・インシデントが、従来のマルウェア感染やPC・スマートフォンなどの情報機器の紛失・盗難に加えて、ビジネスメール詐欺や標的型攻撃のような巧妙かつ複雑な攻撃へと多様化していることがわかりました。改正個人情報保護法への対応については個人識別符号についての関心が高まっている一方、2018年に施行されたGDPRは3割以上の企業が未対応であったり、気にせず移行を行っていたりという実態から、個人情報のグローバル対応については課題が浮き彫りとなりました。グローバルセキュリティガバナンスを強化し、クラウド環境に合致したセキュリティツールを導入、運用することが望まれます」と述べています。
■本調査について
本調査は、JIPDECからの依頼に基づき、JIPDECとITRが2019年1月17日から2月4日にかけて実施したものです。調査は、ITRの独自パネルに対するWebアンケート形式で実施し、従業員数50名以上の国内企業に勤務し、IT戦略策定または情報セキュリティ施策に関わる課長職相当職以上の役職者約3,000名に対して回答を呼びかけ、686名の有効回答を得ました(1社1名)。
今回発表した動向だけでなく、情報セキュリティ対策の具体的な取り組み状況、製品/サービスの導入状況、認定/認証制度の取得状況など、広範にわたる調査を実施しています。調査結果の詳細は、JIPDECが2019年5月下旬に発行予定の『JIPDEC IT-Report 2019 Spring』に掲載し、Web公開する予定です。
■JIPDECについて
JIPDECは、1967年よりわが国の情報化推進の一翼を担い、技術的・制度的課題の解決に向けたさまざまな活動を展開しています。特に、安心安全な情報利活用環境の構築を図るため、プライバシーマーク制度やISMS制度の普及広報、「サイバー法人台帳ROBINS」や「JCAN 証明書」等のインターネットトラスト事業、オープンデータや個人情報の取り扱い等情報の保護と活用に関する調査研究・政策提言等を行っています。
URL: https://www.jipdec.or.jp/
■ITRについて
ITRは、客観・中立を旨としたアナリストの活動をとおして、最新の情報技術(IT)を活かしたビジネスの成長とイノベーションの創出を支援する調査・コンサルティング会社です。戦略策定から、プロジェクトの側方支援、製品・サービスの選定に至るまで、豊富なデータとアナリストの知見と実績に裏打ちされた的確なアドバイスを提供します。2000年からは毎年、国内企業の情報システム責任者に対する『IT投資動向調査』を実施しています。ITRは1994年に設立、東京に本社を置いています。
URL: https://www.itr.co.jp/
--------------------------------------------------------------------------------