例外的な「USBメモリや会社支給PCを使った機密情報の持ち出し」を認める企業が2020年より増加 IPA：テレワークのセキュリティ実態調査で明らかに

IPAは「2021年度企業・組織におけるテレワークのセキュリティ実態調査」の結果を発表した。順守状況の確認やルールの見直しなどで改善が見られたものの、「例外的なセキュリティの緩和」が継続していることが分かった。

[＠IT]

　情報処理推進機構（IPA）は2022年6月30日、「2021年度企業・組織におけるテレワークのセキュリティ実態調査」の結果を発表した。それによると、順守状況の確認やルールの見直しなどで改善が見られたものの、「例外的なセキュリティの緩和」が継続していることが分かった。

　この調査は、コロナ禍をきっかけに急速に変化したIT環境の影響を調べることを目的として2020年11月の「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」の継続調査となる。IPAは調査の目的について「2020年度調査からの変化を調べることで、低下したガバナンスがどこまで回復したかを知ることだ」としている。

改善傾向も見えるが、リスク増大の懸念が残る

　IPAは2021年度の調査結果について3つのポイントを挙げている。

1．コロナ禍でのセキュリティ対策の特例や例外が増加、長期化している

　機密情報を含む電子記録媒体や会社支給PCの持ち出しについて「特例や例外で一時的に認める」という企業の割合が、2020年度調査よりも増えていた。一時的な特例を認めた企業の割合は2020年度調査の12.4％に対して2021年度調査では17.2％。機密情報を保存できる会社支給PCの持ち出しについては、2020年度調査の17.8％に対して2021年度調査では24.1％だった。

一時的な特例、例外を行った組織の割合と2022年1月現在の状態（提供：IPA）

　IPAは、コロナ禍の制限された環境下で事業を継続するため条件の緩和や手続きの簡略化はやむを得ないと事情を認めつつも、「特例や例外でセキュリティ対策は脆弱（ぜいじゃく）になるため、その状態が常態化してしまうことはリスクを増大させることになる」と注意を促している。

委託元企業の約3割がテレワークに関する社内規定などの順守状態を確認していない

　テレワークに関する社内規定や規則、手順の順守状態を確認している企業は2020年度調査よりも増えている。ただし、それでも委託元企業の約3割は順守状態を確認していない。順守状態を確認していると回答した業務委託先企業の割合は2020年度調査の66.4％に対して2021年度調査は89.3％。順守状態を確認していると回答した業務委託元企業の割合は、2020年度調査の45.4％に対して2021年度調査は64.5％だった。

テレワークに関する社内規定、規則、手順などが守られていることの確認状況（提供：IPA）

　IPAは「規定や手順が決められていても順守状況を確認していないと、内部不正の機会が増加する。さらに、気付かないうちに規定に違反し、それがきっかけでセキュリティインシデントに発展する可能性がある」と指摘している。

3．テレワークを考慮した業務委託契約が進んでいない

　業務委託契約を結ぶ際に、テレワークの実施可否を「取り決めている」と回答した割合は、委託先企業の51.6％に対して、委託元企業は13.3％だった。「取り決めていないが、今後取り決める予定」は、委託先企業の6.3％に対して、委託元企業は0.8％。「取り決めていないが、今後検討する」は、委託先企業の21.4％に対して、委託元企業は35.9％だった。

2021年4月1日から2022年1月31日までの間に取り決めた業務委託契約のセキュリティ要求事項（提供：IPA）

　IPAは「業務を委託する際は、テレワークで実施してもよい業務なのか、情報の安全を確保しているのかといったことを確認し、取り決めることが重要だ」としている。