IPAでは、2007年10月から「中小企業の情報セキュリティ対策に関する研究会」（委員長：工学院大学　教授　大木 栄二郎、以下「研究会」）を設置し、実態に即した中小企業の情報セキュリティ対策のあり方について検討をしています。これまでの研究会の成果として、2009年3月に、「中小企業の情報セキュリティ対策ガイドライン」をとりまとめて公開しており、今後も引き続きガイドラインの普及・改善等についての検討を予定しています。
　この度、中小企業の情報セキュリティ対策の実施状況や、IPAが作成したガイドライン等（以下、「IPAガイドライン等」）の活用効果等を把握し、研究会での検討に活用するため、「中小企業における情報セキュリティ対策の実施状況等調査」を行い、本調査結果をとりまとめた報告書を公開しました。本調査では、国内各地の中小企業66社を対象とし、訪問面接によるヒアリングを行っています。

　 IPAが作成した「5分でできる自社診断シート」を用いて、調査対象企業の情報セキュリティ対策状況を確認したところ、66社中43社（65%）の点数が合格基準として設定した70点未満の点数でした。
　 「5分でできる自社診断シート」は情報セキュリティ対策の入門レベルを想定し、最低限実施すべき項目をまとめたものです。IPAでは早急に中小企業の情報セキュリティ対策の底上げを行う必要があると認識しています。

　 対策項目別の実施状況を見ると、社内でのルール化や重要情報の明確化等の、組織全体として取り組むべき項目が未実施となっている傾向があります。

　 調査対象企業の多くは、情報システムの開発事業者等の外部専門家から情報セキュリティ対策に関する提案を受けておらず、自らも積極的に情報収集を行っていない事が分かりました。
　 また、情報セキュリティ対策を検討する際には、IT技術に関する知識のほか、業務分析や保有情報の重要性分析を行うため、企業経営の分析能力が必要となりますが、多くの中小企業には社内に豊富な知識や能力を有する人材がなく、専門家との接点もほとんど無い事が分かりました。

　 最近の経済状況の変化を受け、IT投資意向が減退している中で、情報セキュリティ投資についても必要最低限に絞られる傾向があります。担当者が必要性を主張しても、経営層の理解を得られないという回答が多数ありました。
　 他の合理化案件と抱き合わせでコスト削減に結びつける事により経営層の理解を得る、といった担当者の“涙ぐましい努力”が伺える事例もありました。

　 IPAガイドライン等については、対象企業から、未実施項目に気付く良い機会となった等、概ね好印象が得られました。
　 ただし、「自ら手に取ろうとは思わない」という回答も多く、中小企業の情報セキュリティ対策の底上げのためには、外部専門家等の協力が重要であることがわかりました。

• 中小企業における情報セキュリティ対策の実施状況等調査報告書（本文、911KB）
  • 付録A：調査集計結果（421KB）
  • 付録B：情報セキュリティ対策事例集（208KB）
  • 付録C：ヒアリング調査シート（61KB）
　
• 中小企業における情報セキュリティ対策の実施状況等調査報告書（全文、1,534KB）

（参考）

• プレスリリース全文（36KB）

独立行政法人 情報処理推進機構 セキュリティセンター 石井／小池
TEL：03-5978-7508　FAX：03-5978-7518 E-mail：

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山／大海
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail: