一般財団法人日本情報経済社会推進協会(所在地:東京都港区、会長:杉山 秀二、以下、JIPDEC)と株式会社アイ・ティ・アール(所在地:東京都新宿区、代表取締役:三浦 元裕、以下、ITR)は本日、国内企業983社のIT戦略策定または情報セキュリティ施策の従事者を対象に、2024年1月に共同で実施した『企業IT利活用動向調査2024』の結果を発表いたします。
今回の調査結果のポイントは、次の6点があげられます。
- 生成AIの使用企業は35.0%、導入進行中が34.5%となり、今後急速な拡大が見込まれる
- 生成AIの使用においては、機密情報の漏洩とハルシネーションが大きな懸念点となっている
- DXでは「業務のデジタル化・自動化」に取り組む企業の半数が成果を出しているが、ビジネス成長に向けた取り組みでは成果を出している企業がまだ少ない
- ランサムウェアの感染経験のある企業は47.1%。身代金を支払った企業の3分の2が復旧できず
- 3分の2の企業がデータの越境移転を行っているが、複雑化する各国のデータ保護規制対応が課題
- プライバシーガバナンスへの取り組みは「責任者の任命」と「姿勢の明文化」が先行している
■生成AIの使用企業は35.0%、導入進行中が34.5%となり、今後急速な拡大が見込まれる
現在、生成AIに対する注目度が高まっています。業務における生成AIの使用状況について質問したところ、「会社で構築・契約した生成AIを使用している」が15.9%、「各自で契約・登録した生成AIを使用している」が19.1%となり、合わせて35.0%の企業が生成AIを使用していることがわかりました(図1)。また、現時点では、企業が用意した生成AIよりも、従業員個人が登録した生成AIがより多く使用されている状況にあります。しかし、「会社が生成AIの導入を進めている」が34.5%を占めていることから、今後、会社で構築・契約した生成AIを導入して業務で活用する企業が急速に増えていくとみられます。
■生成AIの使用においては、機密情報の漏洩とハルシネーションが大きな懸念点となっている
生成AIに関する利用規定やガイドラインを策定している企業の割合は、会社で構築・契約した生成AIを使用している企業では68.6%に上ったのに対し、各自で契約・登録した生成AIを使用している企業ではわずか9.0%にとどまりました。
また、生成AIを使用していくうえでの懸念点を質問したところ、企業で構築・契約した生成AIを使用している企業では、「社内の機密情報(個人情報含む)を生成AIの学習データとして使用し情報漏洩する」が最多の67.3%に上りました(図2)。一方、各自で契約・登録した生成AIを使用している企業では26.1%にとどまり、これらの企業では利用規定もほとんど策定されておらず、情報漏洩リスクに対する危機感が薄いことがわかりました。また、各自で契約・登録した生成AIを使用している企業では、「生成AIが出力した偽情報を従業員が信じ業務で使用する」が46.3%で最多となり、会社で構築・契約し使用している企業でも42.3%となりました。業務で生成AIを使用していくうえでは、ハルシネーション(AIが事実に基づかない情報を生成する現象)に対する懸念や不安が多いことが明らかになりました。
■DXでは「業務のデジタル化・自動化」に取り組む企業の半数が成果を出しているが、ビジネス成長に向けた取り組みでは成果を出している企業がまだ少ない
DX(デジタルトランスフォーメーション)を実践している企業に対して、具体的な取り組み内容とその成果について質問しました(図3)。社内の業務や働き方に関するDXを「内向きのDX」、顧客向けの新たな製品やサービス、マーケティングに関するDXを「外向きのDX」と分類しました。
「内向きのDX」で最も取り組みが進んでいるのは「業務のデジタル化・自動化」であり、50.8%の企業で成果が出ており、次いで「ワークスタイルの変革」では36.9%が成果が出ているとなりました。
一方、「外向きのDX」において最も成果が出ているのは、「データに基づいた営業・マーケティングの高度化」で28.9%となり、次いで「顧客体験や顧客接点のデジタル化」が28.5%となりました。ただし、「外向きのDX」の取り組みは、いずれも取り組んではいるが成果が出ていない割合がより高い結果が見て取れます。今後は「外向きのDX」でいかに成果を出し、ビジネスの成長や顧客満足度の向上を図っていくかが重要になっていきます。
また、DXを実践していくうえでの課題について質問したところ、52.4%と過半数の企業が「情報セキュリティ対策」を課題と認識していることがわかりました。その他の課題としては、「DX人材の育成と獲得」が38.8%、「従業員のDXに対する理解や協力姿勢」が38.1%、「新しいデジタル技術の選定と導入」が37.5%となりました。
■ランサムウェアの感染経験のある企業は47.1%。身代金を支払った企業の3分の2が復旧できず
企業に対するサイバー攻撃はますます高度化し、特にランサムウェアの脅威が高まっています。そこで、ランサムウェアの感染被害の経験について質問したところ、47.1%がランサムウェアの感染経験があることがわかりました(図4)。このうち、「感染被害に遭い、身代金を支払ってシステムやデータを復旧させた」が9.0%、「感染被害に遭い、身代金を支払ったがシステムやデータは復旧できなかった」が17.9%となり、合わせて26.9%が身代金を支払った経験を持ちますが、このうち3分の2は復旧できなかったことになります。
このように、ランサムウェアをはじめとするサイバー攻撃に対するリスクが非常に高まっています。サイバー攻撃対策について「極めて優先度が高く、積極的に投資を行っている」企業は37.5%、「優先度が高く、継続的な投資を行っている」が36.7%となり、今後もサイバー攻撃対策への投資は一層拡大していくとみています。また、情報漏洩対策についても、「極めて優先度が高く、積極的に投資を行っている」企業が27.1%、「優先度が高く、継続的な投資を行っている」は44.9%に上り、外部向けだけではなく、内部向けのセキュリティ対策への投資も重点的に行われていることがわかりました。
■3分の2の企業がデータの越境移転を行っているが、複雑化する各国のデータ保護規制対応が課題
データの越境移転(個人情報を海外の第三者に提供すること)はプライバシー保護の観点から、各国・地域において規制を設けるなどの対応が行われています。現在、データ越境移転を行っているとした企業は64.4%を占め、そのうち25.0%は越境移転の頻度が今後さらに増えていくとしています。現在の主な移転先としては、アジア太平洋地域(41.2%)、欧州地域(39.7%)、中国(36.0%)、北米地域(32.9%)となりました。
海外企業との取引においてデータをやり取りする際の課題としては、「相手国と自国のデータ保護基準が一致しておらず調整が複雑になる」が48.8%と半数近くに上り、「データを安全に相手企業に送信できているかどうか不安である」が38.2%、「相手国のデータ保護規制の内容をすぐに理解できず対応に時間がかかる」が37.8%と続きました(図5)。各国・地域のデータ保護規制は複雑化および厳格化が進んでいるため、それを理解して対応することが課題になっていることがうかがえます。
■プライバシーガバナンスへの取り組みは「責任者の任命」と「姿勢の明文化」が先行している
企業経営の重要事項として、組織全体でプライバシー問題に取り組む体制を構築し、企業価値の向上につなげる「プライバシーガバナンス」の重要性が高まりつつあります。プライバシーガバナンスの取り組み状況について質問したところ、「組織全体のプライバシー保護に関する責任者を任命」が37.5%と最も多く、次に「プライバシーガバナンスについての組織の姿勢を明文化」が34.3%で続きました(図6)。これらは、経済産業省が示したプライバシーガバナンスで経営者が取り組むべき3要件の中の2つであり、先んじて取り組まれていることがわかりました。さらに、明文化した姿勢の具体的な実践として、「事業部門が関係部署と連携し、リスクマネジメントを実施」(31.4%)や「プライバシー保護のための組織を設置」(30.4%)などの取り組みが続きました。
調査結果を受けて、ITRのシニア・アナリストである入谷 光浩は以下のようにコメントしています。
「現在、企業では生成AIの導入と活用が進んでいます。生成AIの活用に際しては、情報漏洩やハルシネーションなどのリスクも抱えていることから、導入とあわせて利用規定やガイドラインを策定する必要があります。DXの実践では、業務の自動化やワークスタイルの変革などの『内向きのDX』で成果が見られるようになってきましたが、今後は『外向きのDX』で成果を出しビジネスを成長させていくことがより求められます。そうした中で、セキュリティのリスクが高まっています。
本調査では、半数近くの企業がランサムウェアの感染被害を経験していることがわかりました。業種や規模を問わず、どの企業もランサムウェア攻撃を受ける可能性があり、適切なサイバーセキュリティ対策が不可欠となります。さらに企業は、個人情報を含むプライバシーデータを保護することも重要な責務となっています。現状では、プライバシー保護責任者の任命とプライバシーガバナンス姿勢の明文化から取り組みが進められていますが、今後は専門組織の設置や運用ルールの策定など、運用体制の構築に取り組んでいくことが必要とされます。」
■本調査について
本調査は、JIPDECとITRが2024年1月19日から1月23日にかけて実施したものです。調査は、ITRの独自パネルに対するWebアンケート形式で実施し、従業員数50名以上の国内企業に勤務しIT戦略策定または情報セキュリティ施策に関わる係長職相当職以上の役職者約1万7,000名に対して回答を呼びかけ、983名の有効回答を得ました(1社1名)。
今回発表した動向だけでなく、情報セキュリティ対策の具体的な取り組み状況、テレワークの実施状況、認定/認証制度の取得状況、クラウドサービスの利用状況、電子契約の導入状況など、広範にわたる調査を実施しています。
調査結果の詳細は後日公開予定の他、JIPDECが2024年5月下旬に発行予定の『JIPDEC IT-Report 2024 Spring』ではより詳細な分析結果を紹介する予定です。
■JIPDECについて
JIPDECは、1967年よりわが国の情報化推進の一翼を担い、技術的・制度的課題の解決に向けたさまざまな活動を展開しています。特に、安心安全な情報利活用環境の構築を図るため、プライバシーマーク制度の運営や、メールのなりすまし対策や電子証明書を発行する認証局等の信頼性を評価するトラストサービス評価事業等、個人情報の取扱いやプライバシーガバナンス等、情報の保護と活用に関する調査研究・政策提言等を行っています。
■ITRについて
ITRは、客観・中立を旨としたアナリストの活動をとおして、最新の情報技術(IT)を活かしたビジネスの成長とイノベーションの創出を支援する調査・コンサルティング会社です。戦略策定から、プロジェクトの側方支援、製品・サービスの選定に至るまで、豊富なデータとアナリストの知見と実績に裏打ちされた的確なアドバイスを提供します。2000年からは毎年、国内企業の情報システム責任者に対する『IT投資動向調査』を実施しています。ITRは1994年に設立、東京に本社を置いています。