セキュリティ脅威を感じる機会が増え、セキュリティ支出は拡大

　今回の調査は、JIPDECとITRが2017年1月24日から31日にかけて実施したもの。ITRの独自パネルに対するWebアンケート形式で行われ、従業員数50名以上の国内企業に勤務し、IT戦略策定または情報セキュリティ施策に関わる係長職相当職以上の役職者「653名」の有効回答を得た。

　まず「過去1年間に認知した情報セキュリティ・インシデントの種類」は、多くの項目で前年調査結果を上回り、国内企業が現実的なセキュリティの脅威にさらされていることが明らかになった。

　「モバイルPCの紛失・盗難」「スマートフォン、携帯電話、タブレットの紛失・盗難」はいずれも20％を超え、特定組織に狙いを定めて重要情報の窃取などを図る「標的型のサイバー攻撃」を認知した企業の割合も、前年調査からさらに3ポイント近く上昇した。


　ちなみに、インシデントの認知率は中堅・中小企業でも上昇しており、中でも情報漏えいに関わるインシデントは、中堅クラスの企業でも深刻化していることがわかる。

　こうした中、2017年度（2017年4月～2018年3月）に向けた情報セキュリティ関連支出は多くの企業が増加を見込んでいる。次年度に向けた支出の見込みを「増加（＋1点）」「横ばい（0点）」「減少（－1点）」と重み付けして有効回答で引いた「セキュリティ支出増減指数」を算出し、過去の回答結果と比較したところ、2017年調査では大半の項目が前年の調査結果を上回った。


　特に「セキュリティ関連の認証取得に関する費用」「セキュリティ製品の利用・購入費（外部攻撃対策）」「セキュリティ製品の利用・購入費（内部犯行対策）」の3項目は、2割以上の企業が「支出が増加する見込み」と回答し、指数も過去3回の結果を大きく上回った。

　また、認証基盤の整備、ITスタッフ教育にかける費用も増加が見込まれている。このセキュリティ支出については、大企業だけでなく中堅・中小企業においても伸びることが予想される。

2017年1月時点では改正個人情報保護法への対応は2割強

　2017年5月30日に全面施行される改正個人情報保護法への対応状況は、約7割の企業が「法改正によってシステム環境またはプライバシーポリシーのいずれかに変更・修正が必要であると自社への影響を認識していた。

　しかし、「大幅な変更・修正が必要」とした割合は約2割であり、過去2回の調査結果からほとんど変化が見られなかった。


　なんらかの変更・修正が必要と認識している企業のうち、その対応が「すでに完了している」とする企業は2割強（22.0％）であり、一方で「全面施行（2017年5月）までには対応が完了する見込みである」とした割合が半数近く（46.3％）を占める結果となった。

EUのプライバシー規制への対応は不十分

　特に厳しいプライバシー規制を設けていることで知られるEU圏に事業拠点または顧客を持つ回答した企業（189社）は、EU域内居住者の個人情報の域外への移転を制限する「EU一般データ保護規則（2018年5月から施行予定）」への対応が必要になる。

　しかし、半数以上が「規制の存在を初めて知った」または「規制の存在は知っているが勤務先がどのように対応しているかは知らない」と回答した。海外のプライバシー規制への対応については、規制対応にIT／セキュリティ責任者が十分に関与していないとも言える。

　また、「規制に触れぬよう、個人情報は移転しないようにしている」「規制を特に気にすることなく個人情報の移転を行っている」とした割合もそれぞれ13.2%ずつ存在し、「規制にのっとったかたちで適正に個人情報の移転を行っている」とした回答は2割弱（18.5%）にとどまった。


【次ページ】「働き方改革」と「セキュリティ対策」に相関関係あり？