情報セキュリティ対策への意識向上

独立行政法人情報処理推進機構（ＩＰＡ）は、２０１７年４月から中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度である「ＳＥＣＵＲＩＴＹ　ＡＣＴＩＯＮ（セキュリティアクション）」の運用を開始し、多くの中小企業が情報セキュリティ対策を実践している。23年10月には、ＳＥＣＵＲＩＴＹ　ＡＣＴＩＯＮ自己宣言を行った事業者（以下、「宣言事業者」）は30万者を突破し、制度への関心の高さがうかがえる。

そこでＩＰＡは、宣言事業者を対象として情報セキュリティ対策の実施状況や課題、ＳＥＣＵＲＩＴＹ　ＡＣＴＩＯＮを宣言したことの効果などに関するアンケート調査を実施し、報告書に取りまとめた。アンケート結果の主なポイントを紹介する。

〈ポイント①〉ＳＥＣＵＲＩＴＹ　ＡＣＴＩＯＮ宣言のきっかけは補助金申請が大半ではあるものの、宣言することで情報セキュリティ対策の取り組みを後押ししている。

ＳＥＣＵＲＩＴＹ　ＡＣＴＩＯＮ宣言のきっかけは「補助金を申請する際の要件となっていた」が75・１％と最も高く、次いで「情報セキュリティに係る自社の対応を改善したいと考えていた」が24・４％、「事業拡大や顧客開拓、取引先からの信頼を高める手段として有用と考えた」が16・６％となっている。

一方で、宣言事業者が１年以内に実施した、あるいは１年以内に実施を予定している情報セキュリティ対策について質問したところ、いずれの対策も実施しないとの回答は18・３％にとどまっている。対策を実施したと回答した宣言事業者では、「従業員に対する情報セキュリティ対策ルールの教育」が30・７％と最も高く、次いで「クラウドサービスやウェブサイトで利用している外部サービスの安全性、信頼性の確認」が24・１％、「５分でできる！情報セキュリティ自社診断の実施」が21・５％となっている。ＩＰＡが広く中小企業を対象として実施した調査と比較すると、宣言事業者の方が対策に取り組んでいる傾向が見られ、宣言することで情報セキュリティ対策の取り組みを後押ししていると考えられる。

〈ポイント②〉宣言事業者の約40％が意識向上や取引先からの信頼性向上などの効果を感じている。

ＳＥＣＵＲＩＴＹ　ＡＣＴＩＯＮ宣言による効果について回答者の40％は効果があったと回答している。「経営層の情報セキュリティ対策に関する意識の向上」が23・０％と最も高く、次いで「従業員による情報管理や情報セキュリティに関する意識の向上」が22・８％、「取引先からの信頼性の向上」が13・２％となっている。

課題は人員と知識の不足

〈ポイント③〉情報セキュリティ対策を進める上での問題点は依然として人員と知識不足

情報セキュリティ対策を進める上での問題点は、「情報セキュリティ対策を行うための人員が不足している」が38・６％と最も高く、次いで「情報セキュリティ対策の知識を持った従業員がいない」が33・３％、「従業員の情報セキュリティに対する意識が低い」が31・９％となっている。 ◇◇◇ ＩＰＡでは、宣言事業者の情報セキュリティ対策の実践を支援するために、情報セキュリティ対策支援サイトを通じてセキュリティプレゼンター（支援者）の紹介や無償のｅラーニングなどを提供している。ＳＥＣＵＲＩＴＹ　ＡＣＴＩＯＮ宣言と合わせて情報セキュリティ対策支援サイトを活用していただきたい。

（独立行政法人情報処理推進機構・江島将和）

「2023年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」報告書についてはこちら