HOME情報セキュリティ中小企業の情報セキュリティ対策確認手法に関する実態調査の報告書公開について

本文を印刷する

情報セキュリティ

中小企業の情報セキュリティ対策確認手法に関する実態調査の報告書公開について

掲載日 2008年 4月25日

独立行政法人 情報処理推進機構
セキュリティセンター

独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、大企業が中小企業に対して個別に出している情報セキュリティ対策の要求事項の実態を調査し、大企業から取引先中小企業に対する情報セキュリティ対策の指針策定に向けた要件の検討を行い、報告書を公開しました。


概要

 IPAでは、「安心」して利用できる情報化基盤の構築・維持のため、情報セキュリティ対策の強化、整備を進めています。平成16年総務省「事業所・企業統計調査」によれば、従業員が300人以下の事業所数は全事業所の99%以上を占めており、全従業員数の約88%が300人以下の事業所の従業員であるなど、我が国の産業の大部分は、従業員300人以下の中小企業によって占められています。ネットワーク上の脅威が増す中、情報セキュリティ対策の重要性は広く認知されつつありますが、中小企業ではそのための組織や体制整備の遅れが報告されています 。情報漏えい問題の頻発や個人情報保護法の施行等に伴い、委託元から委託先である中小企業に対して、情報管理体制や従業員教育などの組織的な対策、物理的セキュリティ対策など様々な情報管理の実施を求める要望が出されており、中小企業にとっては大きな負担になりつつあります。
 IPAとしては、これに対応するために「中小企業の情報セキュリティ対策確認手法に関する実態調査」を実施しました。本調査では大企業が委託先の中小企業に対して個別に出している情報セキュリティ対策の要求事項の実態を調査し、大企業から取引先の中小企業に対する情報セキュリティ対策の指針策定に向けて、中小企業を分類し、対策目的、リスク、対策水準等要件の検討を行いました。
 大企業2,298社、中小企業(便宜的に従業員300人以下を中小企業とする)4,058社にアンケートを送付し、大企業173社、中小企業428社から回答を得ました。

1.大企業向けアンケート結果
(1)大企業の半数以上が業務委託先の情報セキュリティ対策を確認
 半数以上の大企業は、取引先(業務取引先)の情報セキュリティ対策状況の確認を行っています。業種別では、情報通信業(94.7%)、金融・保険業(88.2%)、サービス業(85.7%)において、確認割合が高くなっています。

図1-1.取引先(業務委託先)の情報セキュリティ対策状況の確認有無

 

図1-2.取引先(業務委託先)の情報セキュリティ対策状況の確認有無(業種別)

 

(2)確認対象となる取引先(業務委託先)
 取引先(業務委託先)の中で、セキュリティ対策状況を確認しているのは個人情報(66.3%)、重要な技術情報や営業秘密情報等(43.2%)に関わる業務の取引先です。業種別では、情報通信・金融保険・サービス業において「顧客に関する個人情報」(72.0%)、「従業員に関する個人情報」(50.0%)、「ビジネスに関わるノウハウ等」(40.0%)を含む業務の取引先を確認対象とする企業が多く、また、製造業では、「製造方法・部品等に関する技術情報」(44.8%)を含む業務の取引先について確認対象とする企業が多くなっています。

図1-3.確認対象となる取引先(業務委託先)

 

2.中小企業向け調査結果
(1)受託業務の実態
 中小企業において、業務を受託しているのは半数程度になっています。

図2-1.取引先(業務委託元)の状況

 

(2)取引先(業務委託元)から委託されている重要な情報
 取引先から委託されている重要な情報は、「取引先の顧客に関する個人情報」が47.3%と最も多く、特に、情報通信・金融保険・サービス業では67.6%が「取引先の顧客に関する個人情報」を委託されています。製造業では、「製造方法、部品等に関する技術情報」(54.4%)や「最終製品に関する情報」(47.1%)も多くなっています。特に厳格な管理が求められる情報は、「取引先の顧客に関する個人情報」が36.9%と最も多いですが、製造業は「製造方法、部品等に関する技術情報」(39.0%)や「最終製品に関する情報」(27.1%)も管理対象となっています。

図2-2.取引先(業務委託元)からの委託されている重要な情報
<取引先を有する企業のみ>

 

(3)取引先(業務委託元)からの情報セキュリティ対策に関する要求実態
 取引先より情報セキュリティ対策状況に関して確認を受けたことのある企業は全体の2/3程度で、特に、情報通信・金融保険・サービス業は、84.3%と高い割合に達しています。

図2-3.取引先(業務委託元)からの情報セキュリティ対策状況の確認有無

 

(4)取引先(業務委託元)からの情報セキュリティ対策状況の確認有無
 委託を受けている重要な情報別にみると、「取引先の顧客に関する個人情報」(83.3%)が多いです。技術情報に関わるものについては、「最終製品に関する情報」は67.1%と比較的高いですが、「金型、生産設備等に関する技術情報」(38.1%)の委託を受けている企業については、確認を受けたとする企業はまだ少ないです。

図2-4.取引先(業務委託元)からの情報セキュリティ対策状況の確認有無
(委託を受けている重要な情報別)

 

3.中小企業の情報セキュリティ対策に関する要件
 中小企業の情報セキュリティ対策の要件を検討するに際して、以下のような点を基本的な考え方とすることとしました。
  ・セキュリティリスクの大小に応じたマルチレベルの対策。
  ・中小企業の多様性と、それに起因するセキュリティリスクの大小への配慮。
  ・中小企業が具備すべき情報セキュリティ水準と、委託関係の中で求められる情報セキュリティ水準は取り扱いが別。
 また、これらを要件としてブレークダウンしていく際に、あまりにも多くのバリエーションが存在することは、中小企業の対応をむしろ困難にすることが考えられることから、多様性に配慮しつつも単純さを重視します。

 以上の分析を踏まえ、情報セキュリティの観点から中小企業をいくつかに分類し、図3-1のようにまとめます。

図3-1.情報セキュリティの観点からの中小企業の分類

 

 取引関係の中で情報セキュリティ対策を求められるX群の企業では、その対策目的は必然的に委託元の重要情報を適切に管理することになります。A群の企業は、自社のリスクとして情報管理を行う必要があります。さらに、自社の業務のためだけでなく社会的責任という観点からも情報セキュリティ対策に取り組むことが求められます。B群、C群の企業では、情報セキュリティ対策はそれほど高度なものが求められる訳ではありません。
 これらを考慮して各企業分類ごとの対策目的、リスク、対策水準等を検討した結果を図3-2にまとめます。

図3-2.情報セキュリティ対策に関する要件

 


本調査報告書は以下のURLにて公開しています。詳細はこちらをご参照ください。
「中小企業の情報セキュリティ対策確認手法に関する実態調査」報告書


(参考)

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター 石井
TEL:03-5978-7508 FAX:03-5978-7518 E-mail:電話番号:03-5978-7508までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。