中小企業のセキュリティ対策、「従業員の意識がまだ低い」――IPAの調査：事例集も公開

「SECURITY ACTION」を宣言した企業の情報セキュリティ対策に関するIPAの調査が公開された。それによると、従業員や経営層の意識の低さを課題と考えている企業が多かった。

[＠IT]

　独立行政法人情報処理推進機構（IPA）は2019年3月28日、中小企業の情報セキュリティ対策の実施状況や課題、経営層の認識を調査した結果を発表した。

　それによると、セキュリティに関する手順書の作成や情報漏えい、盗難などに対する備えができていないことや、従業員や経営層の意識の低さを課題と考えている企業が多かった。調査対象となったのは、「SECURITY ACTION」を宣言した事業者。

　SECURITY ACTIONは、情報セキュリティ対策への取り組みを中小企業に推進させるため、中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言する制度で、IPAが2017年4月に運用を開始した。

小規模な企業では経営者自らが取り組む

　今回の調査では、SECURITY ACTIONの宣言を社内で主導した人の立場や、同宣言によって期待する効果などを調べた。

　まず、SECURITY ACTION宣言を主導した人の立場は、従業員規模が小さい企業ほど経営者の割合が高く、従業員数の増加に伴いITや情報システムの担当者の割合が高くなる傾向があった。

総従業員数別にみたSECURITY ACTION宣言の主導者の立場（出典：IPA）

　具体的には、経営者が主導した企業の割合は、従業員数が1〜5人の企業では84％、6〜20人の企業では56％、21〜50人の企業では37％、51〜100人の企業では23％、101人以上の企業では16％だった。

　これに対してITや情報システムの担当者が主導した企業の割合は、従業員数が1〜5人の企業では6％、6〜20人の企業では13％、21〜50人の企業では21％、51〜100人の企業では28％、101人以上の企業では34％だった。その一方で、従業員数が21〜300人の企業では、総務担当者が主導した割合が3割弱あった。

SECURITY ACTIONに取り組む動機は？