多様化、複雑化が進む情報セキュリティのリスクを企業は捉え直すべき――JIPDECとITR、「企業IT利活用動向調査2018」発表

過去1年間に認知した情報セキュリティ・インシデントの種類（経年比較）（提供：JIPDEC、ITR）

　一般財団法人日本情報経済社会推進協会（JIPDEC）とアイ・ティ・アール（ITR）は2018年3月27日、「企業IT利活用動向調査2018」の結果の一部を速報として発表した。

セキュリティ・インシデントの認知状況（従業員規模別、経年比較）（提供：JIPDEC、ITR）

　同調査は、両社が共同で国内企業693社のIT／情報セキュリティ責任者を対象に実施したもの。「情報セキュリティに関するインシデントの認知状況」や「情報セキュリティ対策の取り組み状況」「2018年5月に施行予定のGDPR（EU一般データ保護規則）への対応状況」「働き方改革への取り組み」などの項目について調査・分析した。

　「過去1年間に認知した情報セキュリティ・インシデントの種類」で、最も認知されているインシデントは「社内PCのマルウェア感染」だった。2018年の特徴として、「公開サーバなどに対するDDoS攻撃」「内部不正による個人情報の漏えい・滅失」「外部からのなりすましメールの受信」の認知率に上昇傾向が見られた。

　特に「外部からのなりすましメールの受信」は、あらゆる規模の企業で認知率が上昇している。国内でも、金銭をだまし取るビジネスメール詐欺（BEC：Business E-mail Compromise）による被害が出ている点を受け、JIPDECとITRは「早急な対応が必要」としている。

　それぞれの異なるセキュリティリスクをどの程度重視しているかを聞いた調査では、「標的型のサイバー攻撃（33.3％）」と「内部犯行による重要情報の漏えい・消失（30.9％）」の2項目について、「極めて重視しており、経営陣からも最優先で対応するよう求められている」との回答が、2016年以降増加していることが分かった。

　改正個人情報保護法への対応状況については、「既に対応が完了している（38.1％）」「2017年度（2018年3月）までに対応を完了させる見込み（39.3％）」とした企業の割合が高かった一方、「いつまでに完了できるか分からない（22.6％）」と回答する企業も存在した。改正法の内容のうち、関心を持っている項目として、「匿名加工情報の定義と範囲、取扱い（27．1％）」と「個人データの第三者提供（26．0％）」を挙げる企業の割合が年々増加しているという。

　GDPRについて、JIPDECとITRは、EU（欧州連合）域内に事業拠点や顧客をもつ企業153社を対象に調査を実施。「GDPRの存在を初めて知った」または「GDPRの存在は知っているが、勤務先がどのように対応しているかは知らない」と回答した企業が約4割に上り、「GDPRにのっとったかたちで適正に個人情報の移転を行っている」と回答した企業は26.1％にとどまった。

　日本政府が推進する「働き方改革」について、「経営目標として掲げている」とした企業の割合は、2017年（26.8％）から2018年（34.2％）にかけて増えた。ただし、「テレワークの制度が整備されている」「在宅勤務制度が整備されている」と回答した企業の割合は、いずれも2017年から2018年にかけてわずかに増えたにすぎなかった。

　同調査を受け、ITRのシニア・アナリストを務める大杉豊氏は、「特徴的な情報セキュリティインシデントが中堅中小企業でも認知されていることが確認された。また、GDPRに対応ができている企業は約26％にとどまり、罰則金が科されるこの法令への早急な対応が求められる。国内企業は、経営層を巻き込んで情報セキュリティに投資し、多様化と複雑化が進む現在のリスクについて改めて捉え直すことから始めることが求められる」と述べている。