情報セキュリティ・インシデントの認知率増加でセキュリティ支出が拡大の見込み
まず、定点観測している「過去1年間に認知した情報セキュリティ・インシデントの種類」については、多くの項目で前年調査結果を上回り、国内企業が現実的なセキュリティの脅威にさらされていることが明らかになった。「モバイルPCの紛失・盗難」「スマートフォン、携帯電話、タブレットの紛失・盗難」はいずれも20%を超え、特定組織に狙いを定めて重要情報の窃取などを図る「標的型のサイバー攻撃」を認知した企業の割合も、前年調査からさらに3ポイント近く上昇した(図1)。
ちなみに、インシデントの認知率は中堅・中小企業でも上昇しており、とりわけ情報漏洩に関わるインシデントは、中堅クラスの企業でも深刻化していることがうかがえた。
こうした現状を反映してか、来る2017年度(2017年4月~2018年3月)に向けた情報セキュリティ関連支出は多くの企業が増加を見込んでいることが確認された。次年度に向けた支出の見込みを「増加(+1点)」「横ばい(0点)」「減少(−1点)」と重み付けして有効回答で除した「セキュリティ支出増減指数」を算出し、過去の回答結果と比較したところ、2017年調査では大半の項目が前年の調査結果を上回りました(図2)。
特に「セキュリティ関連の認証取得に関する費用」「セキュリティ製品の利用・購入費(外部攻撃対策)」「セキュリティ製品の利用・購入費(内部犯行対策)」の3項目は、2割以上の企業が「支出が増加する見込み」と回答し、指数も過去3回の結果を大きく上回った。また、セキュリティ対策の根幹となる認証基盤の整備、ITスタッフ教育にかける費用も増加が見込まれている。このセキュリティ支出については、大企業だけでなく、中堅・中小企業においても伸びることが予想される。
改正個人情報保護法への対応は駆け込み型に
今回の調査では、全面施行を5月30日に控えた改正個人情報保護法に向けた企業の対応状況についても着目した。まず、法改正による自社への影響については、約7割の企業がシステム環境またはプライバシーポリシーのいずれかに変更・修正が必要であると認識しているものの、「大幅な変更・修正が必要」とした割合は約2割であり、過去2回の調査結果からほとんど変化が見られなかった(図3)。施行が間近に迫るなかでも、企業のIT担当者の反応は比較的冷静であると見られる。
しかし、なんらかの変更・修正が必要と認識している企業のうち、その対応が「すでに完了している」とする企業は2割強(22.0%)であり、一方で「全面施行(2017年5月)までには対応が完了する見込みである」とした割合が半数近く(46.3%)を占める結果となった(図4)。法対応の実務は、多くの企業が施行日直前まで駆け込み型で行う計画であることが見てとれる。
EUのプライバシー規制への対応は不十分
一方、海外のプライバシー規制への対応については課題も浮き彫りとなった。特に厳しいプライバシー規制を設けていることで知られるEU域内に事業拠点または顧客をもつと回答した企業(189社)に対して、EU域内居住者の個人情報の域外への移転を制限する「EUデータ保護指令(2018年5月からEU一般データ保護規則として施行予定)」への対応状況について問うたところ、半数以上が「規制の存在を初めて知った」または「規制の存在は知っているが勤務先がどのように対応しているかは知らない」と回答し、規制対応にIT/セキュリティ責任者が十分に関与していない実態が明らかとなった。
また、「規制に触れぬよう、個人情報は移転しないようにしている」「規制を特に気にすることなく個人情報の移転を行っている」とした割合もそれぞれ13.2%ずつ存在し、「規制にのっとったかたちで適正に個人情報の移転を行っている」とした回答は2割弱(18.5%)にとどまりまった(図5)。
マイナンバー制度対応はトーンダウン
2016年1月から運用がスタートした「社会保障・税番号制度(マイナンバー制度)」に関する情報システムの対応は、前年調査では取り組みが大きく進展したものの、今回の調査では「完了している」とした企業の割合が前年調査から約6ポイント伸びるにとどまった(31.8%→38.0%)。
また、「作業が進行中」とした企業の割合は逆に約6ポイント減少し、実際に対応作業を行っている企業の裾野はほとんど拡大していないことがうかがえた(図6)。対応が完了していない理由としては、「システム化予算の不足」を挙げる企業が最も多く(25.6%)、予算の振り向け先として優先順位を下げた企業が多いと推察される。
関心が高まる「働き方改革」。積極的な企業はセキュリティ対策でも先行
今回の調査では、政府が推進する「働き方改革」も調査対象に加えた。その結果、重視する経営課題として35.8%のIT責任者が選択するなど、「従業員の働き方改革」が国内企業において重要テーマとなっていることが確認された。また、実際に働き方改革に取り組んでいる企業では、セキュリティ対策や安全に情報を共有するためのツール活用が先行しているという実態も明らかとなった。
たとえば、働き方改革を経営目標に掲げていたり、在宅勤務/テレワーク制度を運用中であったりする企業では、リモートデスクトップ環境、メール以外の情報共有ツールの利用率が全体平均の約2倍に上ったほか、在宅勤務/テレワークのためのセキュリティ規程やセキュリティ教育も積極的に行われている(図7)。
調査結果を受けて、ITRのシニア・アナリスト舘野真人氏は、「今回の調査では、情報セキュリティ・インシデントの認知率が大企業だけでなく、中堅クラスの企業でも上昇していることが確認されました。セキュリティ上の脅威を現実のものとして捉える企業の裾野が広がったことがセキュリティ支出の増額傾向にも直結していると見られます。その一方で、改正個人情報保護法、マイナンバー制度などの法規制対応については、関心は高いものの具体的な打ち手が見えない、予算が十分に確保できないという企業が少なくないことも見てとれました」と述べている。
さらに、「企業においては、経営層を巻き込み、全社的なリスク・マネジメントの一環として情報セキュリティ対策を捉え直すことが求められます。また、今回の調査では、政府が旗を振る“働き方改革”を進めるうえでも情報セキュリティが無視できないテーマになりうることが示唆されました。IT責任者は、脆弱なセキュリティ対策が改革の推進を妨げるボトルネックになりうるということも認識しておく必要があります」」と述べている。
調査結果の詳細は、JIPDECが5月下旬に発行予定の『JIPDEC IT-Report 2017 Spring』に掲載し、Web公開する予定。今回発表した動向だけでなく、情報セキュリティ対策の具体的な取り組み状況、製品/サービスの導入状況、認定/認証制度の取得状況など、広範にわたる調査結果が掲載されている。