第2部 中小企業の稼ぐ力 

2 情報セキユリティ対策の効果と課題

■情報セキュリティ対策の効果

情報セキュリティに関する取組を行うことによって、企業はどのような効果を得ることができるのであろうか。第2-4-40図を見ると、「従業員の意識向上」が50.6%と最も多く、次いで「リスク顕在化の防止」が33.0%と多くなっている。また「システム投資の見直し」、「取引先からの評価向上」といった企業価値の向上につながっているという回答も1割程度存在している。他方で「効果を実感できていない」という回答も3割程度確認できる。

第2-4-40図 情報セキュリティに関する防止対策を行ったことによる効果
Excel形式のファイルはこちら

■情報セキュリティ体制が抱える課題

第2-4-41図は、情報セキュリティに関するトラブルが発生した際の対策を情報セキュリティリスクが顕在化した場合の影響について検討しているか否かで比較して示したものである。「影響について検討し、定期的に見直ししている」企業の方が、対策を実施している割合が高くなっており、「影響について把握していない、想定をしていない」企業は対策について「検討していない」と65.7%が回答している。情報セキュリティトラブルの被害想定ができていない企業ほど、セキュリティトラブル発生時の対策への取組が遅れている企業が多いことが確認できる。

第2-4-41図 リスクの影響についての検討状況別に見た情報セキュリティトラブル発生時の対策
Excel形式のファイルはこちら

第2-4-42図は、情報セキュリティのためにどのような外部リソースを利用しているかを個人情報の取扱件数規模別に見たものである。個人情報の取扱件数5,000件以上の企業では、5割弱が「外部のベンダー、システム会社を利用」と回答しており、22.7%の企業が「外部機関主催の研修に参加」となっている。他方、個人情報の取扱件数が5,000件未満の企業や把握していない企業では、外部リソースの利用状況は総じて低くなっており、利用していないという回答が5割超となっているが、セキュリティ対策を効率的に進めていくには、外部リソースを上手に活用していくことも重要である。

第2-4-42図 個人情報の取扱規模別に見た外部リソースの利用状況
Excel形式のファイルはこちら

続いて、企業の情報セキュリティ体制が抱える課題を確認していく(第2-4-43図)。「スキル・ノウハウ不足」が62.8%と最も多く次いで「人手不足」、「経費上の問題」が5割弱と多くなっており、対策をどのように進めていくべきかという情報の不足と対策を実行する経営資源の不足を強く感じていることが分かる。

第2-4-43図 情報セキュリティ体制に関する課題
Excel形式のファイルはこちら

以上、本節では中小企業の情報セキュリティ対策について見てきたが、中小企業、特に個人情報の取扱件数が少ない事業者では情報セキュリティリスクの影響に対する認識が低く、セキュリティ対策が遅れていることが明らかとなった。ITの利活用を進めていく上では、情報セキュリティ対策を進めることは避けて通れない経営課題である。そのことを経営者が認識し、強いリーダーシップによって組織として対策を進めることが必要であると考えられる。しかしながら、ノウハウや経営資源の不足が情報セキュリティ対策を進める上での課題と感じている企業が多いことから、こうした企業も外部リソースや支援機関の支援策を有効に活用していくことで、情報セキュリティ対策を進め、ITの利活用と併せて、企業の強みとしていくことが期待される。

コラム2-4-5

情報セキュリティ普及啓発事業

中小企業の情報セキュリティ対策への取組を支援するため、独立行政法人情報処理推進機構(以下、「IPA」という。)では、全国の中小企業向けに普及啓発コンテンツの提供や各種セミナー等を実施している。

コラム2-4-5図 情報セキュリティ普及啓発事業の全体像
Excel形式のファイルはこちら

〔1〕中小企業にて情報セキュリティ対策を実施・支援する際に必要な実践的な知識を習得するための全国セミナー開催及びカンファレンスを通じた専門家育成の強化。

〔2〕地域中小企業支援機関が開催する研修会への情報セキュリティ講師の無償派遣。

〔3〕「中小企業の組織的な情報セキュリティ対策ガイドライン」の改訂及び中小企業実態訪問調査を実施し、実態把握及び直接指導の実施。

〔4〕情報セキュリティに関する豊富なコンテンツ・ツール類を集約した中小企業を支援するポータルサイト「iSupport」の機能強化。

事例2-4-11. 株式会社アズコムデータセキュリティ

情報セキュリティの外部認証を取得し、
ハード面・ソフト面での積極的な投資を行うことで売上増加を達成している企業

埼玉県秩父市の株式会社アズコムデータセキュリティ(従業員60名、資本金5,000万円)は、株式会社丸和運輸機関の100%出資子会社として、ドキュメント総合管理サービスやビジネス・プロセス・アウトソーシング等を手がけている企業である。同社では、ドキュメントの保管・デリバリー・機密抹消処理から、OCR26を利用したデータ変換による電子化納品、オンデマンド電子データ画像配信サービス等、アナログ・デジタル両方のドキュメント総合管理を事業として行っている。

金融機関との取引が多く、認証取得だけでなく、設備投資の実施や現場での監査が大きく評価に影響することから、同社では高度なセキュリティ体制を構築している。金融機関向けの主力設備となっているのが、秩父セキュリティ第三センターである。金融機関向け仕様に合わせた先行投資として設立したもので、「ISO27001/JIS Q 2700127」を取得している。建屋自体はデータセンターと共通の構造であるが、耐震設備・耐火設備、光回線や防犯カメラ等の内部設備には通常の倉庫の約1.5倍投資をしている。こうしたハードウェア面だけでなく、業務プロセスはダブルチェックやトリプルチェックを行うように構築し、ヒューマンエラーを防ぐために携帯電話等の私物持込みの禁止や、紙・付箋の使用禁止を定めている。例えば、メモを取る際には各人に支給しているホワイトボードへの書き込みのみを許可し、不要となった都度消去させるようにしている。これらの取組は、顧客への情報セキュリティ体制のアピールという面があると同時に、従業員を保護することにもつながっている。こうした設備投資や情報セキュリティへの取組等の効果もあり、近年の売上高は増加している。

また、情報セキュリティのPDCAのため、ヒヤリ・ハット28が生じたときには独自の「セキュリティリスク報告書」を提出するように取り決めている。現場から報告書が出された場合は、個人情報保護責任者及び情報セキュリティ委員長(共に役員)がコメントをし、現場にフィードバックをするというものであり、2015年は軽微な事故が3件発生したものの、早期に改善されている。また、従業員には情報セキュリティに関するテストを毎年定期的に行うほか、制度変更等があればその都度、臨時に教育を行うようにしている。

業界内ではプライバシーマークを取得済みの企業が多く、事業連携先等からISMS取得を要求される場合もある。そうした一連の取組の中で外部委託先への管理は重要な位置付けにあり、外部委託先はプライバシーマーク取得済み企業のみとするといったことや、実際に取引をする場合は設備投資状況や防犯カメラの導入状況等の監査も行っている。

こうした同社の情報セキュリティに関する先進的な取組は、グループ会社の中でも進んでおり、グループ会社のISMSの取得や、関連会社のプライバシーマーク取得にあたって指導的な役割を担うこととなった。

26 OCR(Optical Character Recognition)とは光学式文字読取装置のことをいう。

27 ISO27001は情報資産を様々な脅威から守り、リスクを軽減させるための総合的な情報セキュリティマネジメントシステム(ISMS)を構築するための要求事項をまとめた国際規格。JIS Q27001はその国内規格。

28 重大な災害や事故には至らかったものの、直結してもおかしくない一歩手前で発見した事象をいう。

秩父セキュリティ第三センター(写真左)メモ取り用のホワイトボード(写真右)

事例2-4-12. 株式会社コミット

自社の力で情報セキュリティの外部認証を取得し、
社外からの評価を向上させ、さらなる発展を目指す企業

東京都港区の株式会社コミット(従業員42名、資本金4,000万円)は、天間晃彦社長が2003年に設立した情報システムの開発・運用や情報セキュリティサービスの企画・開発・販売を手がける企業である。2007年からは新卒採用を開始し創業13年を迎える現在では42名の従業員を抱えるまでに成長した。同社では自社で何事にも取り組むという文化を持っており、シンクライアントサービス導入時に大手ベンダーからの購入を検討したが、想像以上にコストがかかる見込みであったため、自社で開発を行った。現在では、自社開発したシンクライアントサービスをプロダクトとして外部に販売するに至っている。

同社では、従業員のために会社を守りたいという事業継続の考え方と、金融機関向けにサービスを提供していることから、信頼性を高めるためプライバシーマークの取得に着手した。情報漏えい事故を起こして倒産した会社を多く見聞きしており、会社を守らないといけないという意識を持っていたことから、天間社長自身が主導して取り組んだものである。

外部認証の取得に当たり、初めは方法がわからなかったため、コンサルティング会社に依頼したところ形式的な書類を整えるだけで、このやり方では資格の取得のみにとどまり、本来意図していた事業継続につながらないと考え、自社で取り組むこととした。この際、自分たちの身の丈にあった取組を行うことが重要だと考え、プライバシーマークや個人情報保護法、ISMS(情報セキュリティマネジメントシステム)等の規程を個別に見ながら、それぞれ自社で対象となるものが何かを明確化していった。そして、具体的な対策として自社に該当しない規定を除き、自社で可能な取組を考え、整理を行った。従業員に対しては、会社としての将来像と結び付けつつ、取組を通じて何ができるようになるのかという効果面に目を向けるよう、コミュニケーションをとるよう心がけ、プラス思考で取り組んでもらうようにした。こうした情報セキュリティへの取組で構築したPDCAサイクルを経営活動全般に広げており、総務や会計等でも年間計画を立て、遂行の過程で問題点があれば見直すという取組を行い、業務改善につなげている。同社は2008年にプライバシーマーク、2012年にはISMS(情報セキュリティマネジメントシステム)を取得している。

同社の取組は他社へも影響を与えており、協力会社社員が同社で教育を受けたことで他社の現場で高い評価を受けたといった話や、同社の話を聞いた同業他社の経営者が触発されてISMS(情報セキュリティマネジメントシステム)を取得されたという話もある。

天間社長は、「当社のような小さな会社は、技術力・働きぶり・低リスクが評価されなくては選ばれない。」と語り、情報セキュリティへの取組にみられるように会社の芯を太くしていくことを通じた事業拡大を目指している。

社内研修の様子
前の項目に戻る     次の項目に進む