SecurityInsight | セキュリティインサイト

JIPDECとITRが「企業IT利活用動向調査2018」の速報結果を発表

日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は3月27日、国内企業693社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2018」の一部結果を速報として発表した。

この調査では、情報セキュリティにまつわるインシデントの認知状況や情報セキュリティ対策の取り組み状況、今年5月から施行予定のGDPR(EU一般データ保護規則)への対応状況、働き方改革への取り組みなどについて調査・分析している。その概要は以下のとおり。

定点観測している「過去1年間に認知した情報セキュリティ・インシデントの種類」については、特徴的なインシデントにおいて増加傾向が見られ、国内企業が現実的なセキュリティの脅威にさらされていることが明らかになった。「社内PCのマルウェア感染」は例年どおり最も認知されているインシデントとなっているが、今年は特徴的なインシデントとして「公開サーバー等に対するDDoS攻撃」「内部不正による個人情報の漏洩・滅失」「外部からのなりすましメールの受信」の認知率が上昇している。

特に「外部からのなりすましメールの受信」については、従業員規模別のいずれの規模でも認知率が増加。2017年から国内において金銭をだまし取るビジネスメール詐欺による被害が出始めたことから、早急な対応が求められる。また「公開サーバー等に対するDDoS攻撃」もすべての従業員規模で増加しており、2020年東京五輪に向けた攻撃の予兆がうかがえる。

セキュリティ・リスクの重視度合いの問いに対して、「標的型のサイバー攻撃」および「内部犯行による重要情報の漏洩・消失」については「極めて重視しており、経営陣からも最優先で対応するよう求められている」との回答が2016年以降年々増加しており、今回はともに3割を超えた。また2017年11月のサイバーセキュリティ経営ガイドラインの改定に伴い、経営層のセキュリティ対策への関与が高まっているといえる。調査ではITガバナンス・内部統制対策に関する費用、個人情報保護対策に関する費用が、中堅・中小企業でも増加している結果が見られた。

今回の調査では、改正個人情報保護法の施行後の対応状況についても着目した。改正法の内容について関心を持っている項目としては、「匿名加工情報の定義と範囲、取扱い」「個人データの第三者提供」が年々増加している結果となった。改正個人情報保護法への対応が終了した企業では、今後は匿名加工情報を利用してビジネスに貢献することに注力すると予測される。しかし、改正法への対応状況については、8割弱の企業は2017年度までに対応を完了させる見込みだが、いつまでに完了できるか分からない企業も2割強存在し、課題といえる。

海外のプライバシー規制への対応については課題も浮き彫りとなった。特に厳しいプライバシー規制を設けていることで知られるEU域内に事業拠点または顧客をもつ企業(153社)に対して、EU域内居住者の個人情報の域外への移転を制限する「GDPR(EU一般データ保護規則、2018年5月から施行予定)」への対応状況を質問したところ、約4割が「GDPRの存在を初めて知った」または「GDPRの存在は知っているが、勤務先がどのように対応しているかは知らない」とし、規制対応にIT/セキュリティ責任者が十分に関与していない実態が明らかとなった。

また、「GDPRに触れぬよう、個人情報は移転しないようにしている」が9.2%、「GDPRを特に気にすることなく個人情報の移転を行なっている」との回答が15.0%存在し、「GDPRに則った形で適正に個人情報の移転を行なっている」は26.1%に留まった。同規則ではインシデントが発生した場合には、72時間以内に報告義務が必要となることなどから、対象となる企業では早急な対応が求められる。

昨年に引き続き、政府が推進する「働き方改革」も調査対象に加えた。その結果、従業員の「働き方改革が経営目標として掲げられている」企業の割合は2017年の26.8%から2018年は34.2%に増加している。しかし、「テレワークの制度が整備されている」および「在宅勤務制度が整備されている」企業の割合は微増に留まった。
 

関連リンク

プレスリリース