第2部 中小企業の稼ぐ力 

第3節 情報セキュリティリスク

第2部第3章で示したとおり、企業は生産性向上等を目的としITの導入を積極的に進めている。他方で、情報化の進展に伴い標的型攻撃や内部からの不正アクセス等、情報セキュリティの脅威は多様化している。2016年1月の社会保障・税番号制度(マイナンバー)開始に伴う特定個人情報等、組織が保有する重要な情報も多岐に渡り、セキュリティ対策の重要性が高まっている。また、情報セキュリティトラブルは、情報の紛失等の直接的な損害のみならず、社会的信用を失うといった間接的な被害ももたらす。適切な対応がとれなかったために、企業の事業継続を危うくするような事象も発生しており、セキュリティを確保した上でのIT利活用の徹底16が求められている。

また、第1節で確認したように「情報セキュリティ上のリスク」を事業の継続を困難にするリスクとして想定している企業は多く存在する。本節では、中小企業の情報セキュリティリスクに対する対策の現状及び課題を分析する。

16 「日本再興戦略」改訂2015

1 情報セキュリティの状況

■情報セキュリティの概念

情報セキュリティとは「情報の機密性、完全性及び可用性17を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めても良い。」と定義18されている。つまり企業において重要なのは、企業秘密や個人情報等の情報をどのように守るか、その情報を扱う情報システムをどのように守るのかということである。また、企業が守るべき情報とは電子的な情報だけではなく紙に印刷した情報や製造物本体も含まれる。企業においては自社が保有する情報資産19の特質を検討し、情報セキュリティ対策を行うことが大切である。

17 「可用性」とは、許可されたものが許可された条件内で資産を使用したいときに、その資産を使用できるようにすることをいう。

18 JIS Q 27001:2006

19 「情報資産」とは、資産としての価値があり、企業として管理すべき対象として選択したものをいう。

■情報セキュリティ対策

情報セキュリティトラブルを防止するための対策実施状況はどのようになっているのであろうか。第2-4-29図は、情報セキュリティ対策の実施状況を企業規模別に比較して示したものである。総じて中小企業は大企業と比較して対策を実施している企業は2割程度少なく、セキュリティ監視ツールの導入等の「監視体制」は5割弱となっており、中小企業においてセキュリティ対策が進んでいない様子がうかがえる。

第2-4-29図 企業規模別に見た情報セキュリティ対策実施状況
Excel形式のファイルはこちら

続いて、1年間の情報セキュリティ対策費用20の一社当たりの平均額の推移を確認していく(第2-4-30図)。大企業では、「わからない」に次いで「1,000万円以上」が多く、2割弱いる一方で、中小企業では、「50万円未満」が35.2%と最も多く、次いで「50〜100万円」が16.9%となっている。ここでいう情報セキュリティ対策費用は外部業者への支払いのみならず、従業員向けのセキュリティ教育や人件費等も含むため、中小企業においては情報セキュリティ対策に講じる費用が少ない企業が多いといえる。

20 ここでいう「情報セキュリティ対策費用」とは、情報セキュリティ対策のうち企業が実施している対策に要する費用を意味し、従業員向けのセキュリティ教育、セキュリティ関連の機器やソフトの購入、サービスの発注等外部への支払いのほか、社内要員が調査・検討・対策実施にあたった際の人件費等内部費用を含む。

第2-4-30図 一社平均情報セキュリティ対策費用の推移
Excel形式のファイルはこちら

■トラブルの発生状況

実際に、企業ではどのような情報セキュリティ上の被害が発生しているのであろうか。第2-4-31図は中小企業における情報セキュリティトラブル21の発生率を示したものである。情報セキュリティトラブルの発生は、全体では直近年度で16.1%となっており、約6社に1社の割合で推移している。次に、カテゴリー別に推移を見ていくと「システムトラブル」が前年度+6.7ポイントの67.6%、「不正アクセス」が+4.2ポイントの7.2%と上昇した一方、「コンピュータウィルス」は▲6.5ポイントの48.6%と減少している。「コンピュータウィルス」による被害は減少しているものの約半数の企業が被害を受けており、ウィルス対策ソフトの導入、定期的なアップデート等の基本的な対策の徹底が求められる。

21 「情報セキュリティトラブル」とは、情報の機密性、完全性、可用性を損なう事象をいう。

第2-4-31図 カテゴリー別に見た中小企業の情報セキュリティトラブルの発生率
Excel形式のファイルはこちら

トラブルの種類別に最も回答が多かったものを見ると、【システムトラブル】では「内部要因によるシステムの停止」が48.9%、【コンピュータウィルス】では、「ホームページ等によるウィルス感染」が23.5%となっている(第2-4-32図)。

第2-4-32図 トラブルの種類別に見た中小企業の情報セキュリティトラブルの発生率
Excel形式のファイルはこちら

次に、情報セキュリティトラブルが発生した中小企業における被害額を見ていく(第2-4-33図)。全体では35.5%の企業で被害が発生しており、「50万円未満」と回答した企業が30.6%と最も多くなっている。被害の発生割合を企業の売上規模別に見ると、売上10億円以下の企業では64.7%の企業で被害が発生しており、売上規模の小さい企業ほど、被害が発生している割合が高くなっている。売上規模の小さな企業にとっては、被害額が小さくても経営に影響を及ぼしうるため、十分な対策を進める必要がある。

第2-4-33図 売上規模別に見た中小企業における情報セキュリティトラブルの被害額
Excel形式のファイルはこちら

■情報セキュリティトラブルに対する想定

第2-4-34図は、事業で取り扱う情報に関して企業が想定しているセキュリティトラブルの割合を示したものである。総じて中小企業は大企業よりもセキュリティトラブルに対する想定が低いことが分かる。中小企業で最も多い回答は79.5%の「システムへの不正アクセス、乗っ取り・情報収集の起点化」、次いで「個人情報の流出・漏えい」、「自社・取引先の機密情報の流出・漏えい」が多く重要情報の流出・漏えいを大きなリスクとして捉えていることが分かる。

第2-4-34図 想定している情報セキュリティトラブル
Excel形式のファイルはこちら

実際に発生した情報セキュリティトラブルの内容を見ると、中小企業では「個人情報の流出・漏えい」が10.4%、「システムへの不正アクセス、乗っ取り・情報収集の起点化」が8.2%と多く発生している(第2-4-35図)。割合は高くないものの大きな被害が発生する可能性のある「サイバー攻撃による自社の事業所設備への物理的被害」、「インターネットバンキングの認証情報流出、不正送金被害」が一定数発生している点は注意が必要である。

第2-4-35図 顕在化した情報セキュリティトラブル
Excel形式のファイルはこちら

■個人情報の取扱規模

第2-4-36図は、事業者が1年間で取り扱う個人情報の件数を業種別に見たものである。全体では、「1,000件未満」が54.8%と最も多く、次いで「5,000件以上」が19.9%となっている。個人情報の取扱件数が多い業種は小売業であり、42.0%が「5,000件以上」となっている。個人情報保護法の改正22では、個人情報取扱事業者の範囲が拡大され23、5,000人分以下の個人情報をデータベース化24して取り扱う者25も対象となるため、より厳格な個人情報の管理が必要となる。

22 2015年9月3日成立、同月9日公布。

23 改正前は、取り扱う個人情報が5,000件以下の事業者は個人情報取扱事業者から除外されていた。

24 特定の個人情報を検索できるよう体系的に構成した個人情報の集合物。紙媒体・電子媒体を問わない。

25 営利、非営利の別を問わない。個人事業主も含まれる。

第2-4-36図 業種別に見た個人情報の取扱件数
Excel形式のファイルはこちら

■情報セキュリティリスクに関する事前の検討

企業は情報セキュリティトラブルの影響についてどの程度事前に検討を進めているのであろうか。第2-4-37図は個人情報の取扱規模別に、情報セキュリティリスクが顕在化した場合の影響についての検討状況を見たものである。「影響について検討し、定期的に見直ししている」と回答した企業は「5,000件以上」のグループでは40.9%だが、「5,000件未満」では27.6%、「わからない」では14.0%となっており個人情報の取扱件数が少ない企業や把握していない企業では、事前の被害想定が十分になされていないことが分かる。

第2-4-37図 個人情報の取扱規模別に見た情報セキュリティリスクが顕在化した場合の影響についての検討状況
Excel形式のファイルはこちら

第2-4-38図は、情報セキュリティに関する防止対策の取組状況を個人情報の取扱規模別に見たものである。個人情報保護法改正以前から個人情報取扱事業者である個人情報の取扱件数が「5,000件以上」の企業であっても「定期的なソフト・システムアップデートの実施」が62.5%、「データの廃棄・処分の規定を制定」が39.1%等、必ずしも取組が進んでいない様子がうかがえる。また、個人情報の取扱件数が「5,000件未満」の企業、「わからない」と回答した企業では総じて防止対策の取組が進んでおらず、特に差が顕著に出ているのは「重要情報へのアクセス制限」、「従業員への研修」である。

第2-4-38図 個人情報の取扱規模別に見た情報セキュリティに関する防止対策の取組状況
Excel形式のファイルはこちら

続いて、情報セキュリティに関する防止対策の取組状況を情報セキュリティリスクが顕在化した場合の影響について検討しているか否かで回答割合を比較してみる(第2-4-39図)。情報セキュリティリスクの影響について検討がなされていない企業では、「重要情報のパスワードでの管理」、「従業員への研修」といった比較的コストはかからないがセキュリティ対策を進める上では重要な取組が遅れていることが分かる。以上の結果から、個人情報の取扱件数が5,000件未満の企業では、情報セキュリティトラブルの影響についての検討が進んでおらず、セキュリティトラブルが発生した際の被害についての想定ができていないことから、経営の中でのセキュリティ対策の優先度が低く、取組が進んでいない実態が明らかになった。

第2-4-39図 リスクの影響についての検討状況別に見た情報セキュリティに関する防止対策の取組状況
Excel形式のファイルはこちら

事例2-4-10. 株式会社ホスピタリティ・ワン

業界内で一歩進んだ情報セキュリティ体制を強みとして、
事業発展を目指す訪問看護サービスのベンチャー企業

東京都港区の株式会社ホスピタリティ・ワン(従業員30名、資本金500万円)は、2008年創業の介護保険適用外の訪問看護サービスを手がける企業である。同社では、終末期の患者を中心に訪問看護サービスを行っており、業務の中でカルテ情報等の医療情報をはじめとするセンシティブな個人情報を取り扱っている。業界内では、FAXを通じた個人情報のやり取りが通例であり、誤送信事故は多く発生しており、同社でも情報事故が発生した経験がある。同社では事故について重く受け止め、同様の事態が発生しないよう仕組み作りをするべく、情報セキュリティ強化に取り組むこととした。

事業を拡大する上での「守り」として、ワークライフバランス等の労務管理の問題や、BCPの策定等にも積極的な同社では、情報セキュリティへの取組として港区の支援制度を活用して一般財団法人日本情報経済社会推進協会のプライバシーマーク取得を目指した。港区のISO等取得支援事業では、申請料・審査料・登録料・コンサルタント委託料の諸経費の半額(上限500,000円)の支援を受けることができる。プライバシーマークを取得することで、行政担当者や患者から情報セキュリティに関して高いレベルの会社であると安心してもらうことができるため、「攻め」の要素としても機能していると同社では考えている。プライバシーマークを取得している訪問看護ステーションは全国でも数少ない。

高丸慶社長は、「プライバシーマークの取得は情報セキュリティのレベルを向上させるための手段であり、取得に至る過程こそが重要だ。」と語る。創業から8年目を迎える同社では、プライバシーマークの取得の過程が社風を作ることにつながったと感じている。担当者を置き、社内の各種規定や手続きを確認していく過程で、自社が抱える情報セキュリティ上のリスクに気付くことができ、従業員の間での情報セキュリティに関する意識付けができたとのことである。

今後、遠隔医療等のICTサービスを用いた訪問看護事業が広がりを見せた場合に、プライバシーマークの取得をしていることは訪問看護事業者としてアピール材料になると考えている。また、高丸社長はいずれ株式公開も視野に入れており、その際に社内体制を固めている材料としてアピールができるものと考えている。

情報セキュリティ関連の書類
前の項目に戻る     次の項目に進む