一般財団法人日本情報経済社会推進協会(JIPDEC、会長 牧野 力)と株式会社アイ・ティ・アール(ITR、代表取締役 内山悟志)は本日、国内企業653社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2017」の一部結果を速報として発表いたします。
本調査では、情報セキュリティにまつわるインシデントの認知状況や情報セキュリティ対策の取り組み状況、2017年5月に全面施行となる改正個人情報保護法への対応状況、働き方改革とセキュリティ対策の関係などについて調査・分析しています。
■情報セキュリティ・インシデントの認知率増加に伴い、セキュリティ支出が拡大の見込み
まず、定点観測している「過去1年間に認知した情報セキュリティ・インシデントの種類」については、多くの項目で前年調査結果を上回り、国内企業が現実的なセキュリティの脅威にさらされていることが明らかになりました。「モバイルPCの紛失・盗難」「スマートフォン、携帯電話、タブレットの紛失・盗難」はいずれも20%を超え、特定組織に狙いを定めて重要情報の窃取などを図る「標的型のサイバー攻撃」を認知した企業の割合も、前年調査からさらに3ポイント近く上昇しました(図1)。
ちなみに、インシデントの認知率は中堅・中小企業でも上昇しており、とりわけ情報漏洩に関わるインシデントは、中堅クラスの企業でも深刻化していることがうかがえました。
こうした現状を反映してか、来る2017年度(2017年4月~2018年3月)に向けた情報セキュリティ関連支出は多くの企業が増加を見込んでいることが確認されました。次年度に向けた支出の見込みを「増加(+1点)」「横ばい(0点)」「減少(-1点)」と重み付けして有効回答で除した「セキュリティ支出増減指数」を算出し、過去の回答結果と比較したところ、2017年調査では大半の項目が前年の調査結果を上回りました(図2)。特に「セキュリティ関連の認証取得に関する費用」「セキュリティ製品の利用・購入費(外部攻撃対策)」「セキュリティ製品の利用・購入費(内部犯行対策)」の3項目は、2割以上の企業が「支出が増加する見込み」と回答し、指数も過去3回の結果を大きく上回りました。また、セキュリティ対策の根幹となる認証基盤の整備、ITスタッフ教育にかける費用も増加が見込まれています。このセキュリティ支出については、大企業だけでなく、中堅・中小企業においても伸びることが予想されます。
*次年度に向けた支出の見込みを「増加(+1点)」「横ばい(0点)」「減少(-1点)」と重み付けして有効回答で除した値
■改正個人情報保護法への対応は駆け込み型に
今回の調査では、全面施行を2017年5月30日に控えた改正個人情報保護法に向けた企業の対応状況についても着目しました。まず、法改正による自社への影響については、約7割の企業がシステム環境またはプライバシーポリシーのいずれかに変更・修正が必要であると認識しているものの、「大幅な変更・修正が必要」とした割合は約2割であり、過去2回の調査結果からほとんど変化が見られませんでした(図3)。施行が間近に迫るなかでも、企業のIT担当者の反応は比較的冷静であると見られます。
しかし、なんらかの変更・修正が必要と認識している企業のうち、その対応が「すでに完了している」とする企業は2割強(22.0%)であり、一方で「全面施行(2017年5月)までには対応が完了する見込みである」とした割合が半数近く(46.3%)を占める結果となりました(図4)。法対応の実務は、多くの企業が施行日直前まで駆け込み型で行う計画であることが見てとれます。
■EUのプライバシー規制への対応は不十分
一方、海外のプライバシー規制への対応については課題も浮き彫りとなりました。特に厳しいプライバシー規制を設けていることで知られるEU域内に事業拠点または顧客をもつと回答した企業(189社)に対して、EU域内居住者の個人情報の域外への移転を制限する「EUデータ保護指令(2018年5月からEU一般データ保護規則として施行予定)」への対応状況について問うたところ、半数以上が「規制の存在を初めて知った」または「規制の存在は知っているが勤務先がどのように対応しているかは知らない」と回答し、規制対応にIT/セキュリティ責任者が十分に関与していない実態が明らかとなりました。また、「規制に触れぬよう、個人情報は移転しないようにしている」「規制を特に気にすることなく個人情報の移転を行っている」とした割合もそれぞれ13.2%ずつ存在し、「規制にのっとったかたちで適正に個人情報の移転を行っている」とした回答は2割弱(18.5%)にとどまりました(図5)。
■マイナンバー制度対応はトーンダウン
2016年1月から運用がスタートした「社会保障・税番号制度(マイナンバー制度)」に関する情報システムの対応は、前年調査では取り組みが大きく進展したものの、今回の調査では「完了している」とした企業の割合が前年調査から約6ポイント伸びるにとどまりました(31.8%→38.0%)。また、「作業が進行中」とした企業の割合は逆に約6ポイント減少し、実際に対応作業を行っている企業の裾野はほとんど拡大していないことがうかがえました(図6)。対応が完了していない理由としては、「システム化予算の不足」を挙げる企業が最も多く(25.6%)、予算の振り向け先として優先順位を下げた企業が多いと推察されます。
■経営課題として関心が高まる「働き方改革」。積極的な企業はセキュリティ対策でも先行
今回の調査では、政府が推進する「働き方改革」も調査対象に加えました。その結果、重視する経営課題として35.8%のIT責任者が選択するなど、「従業員の働き方改革」が国内企業において重要テーマとなっていることが確認されました。また、実際に働き方改革に取り組んでいる企業では、セキュリティ対策や安全に情報を共有するためのツール活用が先行しているという実態も明らかとなりました。例えば、働き方改革を経営目標に掲げていたり、在宅勤務/テレワーク制度を運用中であったりする企業では、リモートデスクトップ環境、メール以外の情報共有ツールの利用率が全体平均の約2倍に上ったほか、在宅勤務/テレワークのためのセキュリティ規程やセキュリティ教育も積極的に行われています(図7)。
調査結果を受けて、ITRのシニア・アナリスト舘野真人は、「今回の調査では、情報セキュリティ・インシデントの認知率が大企業だけでなく、中堅クラスの企業でも上昇していることが確認されました。セキュリティ上の脅威を現実のものとして捉える企業の裾野が広がったことがセキュリティ支出の増額傾向にも直結していると見られます。その一方で、改正個人情報保護法、マイナンバー制度などの法規制対応については、関心は高いものの具体的な打ち手が見えない、予算が十分に確保できないという企業が少なくないことも見てとれました。企業においては、経営層を巻き込み、全社的なリスク・マネジメントの一環として情報セキュリティ対策を捉え直すことが求められます。また、今回の調査では、政府が旗を振る“働き方改革”を進めるうえでも情報セキュリティが無視できないテーマになりうることが示唆されました。IT責任者は、脆弱なセキュリティ対策が改革の推進を妨げるボトルネックになりうるということも認識しておく必要があります」」と述べています。
■本調査について
本調査は、JIPDECからの依頼に基づき、JIPDECとITRが2017年1月24日から31日にかけて実施したものです。調査は、ITRの独自パネルに対するWebアンケート形式で実施し、従業員数50名以上の国内企業に勤務しIT戦略策定または情報セキュリティ施策に関わる係長職相当職以上の役職者約2,000名に対して回答を呼びかけ、653名の有効回答を得ました(1社1名)。 今回発表した動向だけでなく、情報セキュリティ対策の具体的な取り組み状況、製品/サービスの導入状況、認定/認証制度の取得状況など、広範にわたる調査を実施しています。調査結果の詳細は、JIPDECが2017年5月下旬に発行予定の『JIPDEC IT-Report 2017 Spring』に掲載し、Web公開する予定です。
■JIPDECについて
JIPDECは、1967 年よりわが国の情報化推進の一翼を担い、技術的・制度的課題の解決に向けたさまざまな活動を展開しています。特に、安心安全な情報利活用環境の構築を図るため、プライバシーマーク制度やISMS制度の運用、「サイバー法人台帳ROBINS」や「JCAN 証明書」等のサービス提供、オープンデータや個人情報の取り扱い等情報の保護と活用に関する調査研究・政策提言等を行っています。
■ITRについて
ITRは、客観・中立を旨としたアナリストの活動をとおして、最新の情報技術(IT)を活かしたビジネスの成長とイノベーションの創出を支援する調査・コンサルティング会社です。戦略策定から、プロジェクトの側方支援、製品・サービスの選定に至るまで、豊富なデータとアナリストの知見と実績に裏打ちされた的確なアドバイスを提供します。2000年からは毎年、国内企業の情報システム責任者に対する『IT投資動向調査』を実施しています。ITRは1994年に設立、東京に本社を置いています。