EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

経営層の意識に変化も【CSC:改正個人情報保護法成立後のセキュリティ意識調査】

  2021/02/17 18:30

 サイバーセキュリティクラウドは、従業員規模が1〜100名、101〜300名、300名超の企業の経営層それぞれ200名ずつ、計600名に対して、「改正個人情報保護法成立後のサイバーセキュリティ対策に関する意識調査」を実施し、その調査結果を発表した。

 今回当社では600名の経営層に対し「改正個人情報保護法成立後のサイバーセキュリティ対策に関する意識調査」を実施。意識調査の結果から、改正個人情報保護法の成立後の企業のサイバーセキュリティ対策への意識変化、対策の実態が浮き彫りになったとしている。

 改正個人情報保護法の成立後、一定の経営層が法改正についての理解を深めようとしたり、サイバーセキュリティ対策への意識を高める中で、自社が保有する個人情報を守るためにはどのようなセキュリティ対策が必要なのかを正しく理解できていない経営層も多数存在していた。自社ではセキュリティ対策が十分だと認識していても、実態としてサイバー攻撃に対し正しく対策できていないため、思いもよらず被害に遭ってしまう企業が多数存在する可能性も高いと考えられるという。

調査結果

約6割の経営層が改正個人情報保護法の成立を認識

 今回調査対象に選定した経営層のうち、63.2%が2020年6月に改正個人情報保護法が成立したことを認識。特に従業員の数が300人を超える大企業においては、74.0%が「知っていた」と回答し、従業員数が100人超300人以下の企業では67.0%、従業員数が100人以下の企業では48.5%だった。

 さらに改正法の成立について認識していた経営層のうち、76.3%が法改正の内容として、委員会への報告と本人への通知義務の変更に関して正しく認識し、52.0%が罰金上限の引上げについて正しく理解。さらに両方正しく理解できている経営層も49.9%にのぼった。

[画像クリックで拡大]

改正法の成立を認識している経営層の8割以上がサイバーセキュリティ対策を強化する必要があると感じている

 そうした経営層に対し、改正法の成立を受けたサイバーセキュリティ対策の強化について尋ねたところ、85.2%が対策の必要性を感じると回答し、特に大企業においては91.2%となった。

[画像クリックで拡大]

大企業の経営層のうち約5割が、改正個人情報保護法の成立を受けて「サイバーセキュリティ対策の強化を実施した、および1年以内に実施する予定」と回答

 改正法の成立を認識している経営層のうち46.2%が既にサイバーセキュリティ対策を強化、もしくは1年以内に強化する予定と回答している。また大企業の経営層においては、同様の回答が54.1%を占める結果となった。

[画像クリックで拡大]

 また実施および実施予定のサイバーセキュリティ対策としては、最も多い50.9%が「ファイアウォール」と回答し、次いで40.6%が「脆弱性診断」、40%が「ログ監視」と回答した。

 一方で法改正を受けてもサイバーセキュリティ対策について検討もしなかったという経営層全体のうち、43.6%が「サイバーリスクによる個人情報漏洩被害に遭う可能性が低いと考えているため」と回答し、次いで27.9%の経営者が「対策にあてる費用に余裕がないため」と回答、25%の経営者が「具体的な取り組み方法がわかりにくいため」という結果となった。

[画像クリックで拡大]

サイバーセキュリティ対策を実施している経営層のうち約7割の経営層が社内セキュリティ対策とWebセキュリティ対策を両方実施していると回答した一方で、そのうち9割以上がWebセキュリティ対策に対する認識ができていない

 「社内セキュリティとWebセキュリティをどちらも実施しているか」という質問に対し経営層の80.0%が「実施している」と回答。さらにセキュリティ対策の具体的な内容として、最も多かったのは「ファイアウォール」、次に「導入しているセキュリティの種類がわからない/情シス担当者に任せている」、「ログ監視」と続いた。そのうちWebセキュリティ対策として重要な「WAF(WEB APPLICATION FIREWALL)」を導入していると回答した経営層は6.7%に留まった。

[画像クリックで拡大]

“Webサービスを手掛ける企業”の経営層のうち8割以上が「WAF」の導入を把握できていない

 さらにWebサービスを手掛ける企業の経営層に対し現在実施しているサイバーセキュリティ対策の内容を尋ねたところ、「WAF」を導入していると回答した経営層は18.5%という結果になった。

[画像クリックで拡大]

大企業の10社に1社が過去1年以内にサイバー攻撃の被害に遭い、被害内容の3割以上が「情報漏洩」

 「過去1年以内にサイバー攻撃による何らかの被害に遭った経験があるか」と尋ねたところ、全体の7.7%が「被害にあった経験がある」と回答。さらに大企業においては10.5%が被害にあっていることがわかったという。そして実際の被害事例として、最も多い39.1%が「システム負荷増」と回答し、次いで34.8%が「情報漏洩」、26.1%が「システムダウン」となった。

[画像クリックで拡大]

【関連記事】
過去3年間で最多の攻撃を検知【CSC サイバー攻撃検知レポート2020】
サイバーセキュリティクラウド、ソフテックの全株式を取得 子会社化を決議
クレディセゾン、サイバーセキュリティクラウドと協業 クレジットカード不正使用防止の共同研究へ

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5