掲載日 2017年3月30日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
| (1)調査方法 | ウェブアンケート |
| (2)調査対象 | 委託先を有する国内企業(*1)において、「セキュリティ部門」「調達部門」「リスク部門」「開発製造部門」のいずれかの業務に従事する者 |
| (3)調査期間 | 2017年1月20日~2017年1月26日 |
| (4)有効回答数 | 1,249件(従業員数301人以上の企業:632件、従業員数300人以下の企業:617件) |
(1) 委託元にとって、委託が連鎖するほど情報セキュリティ対策状況の把握は困難。
直接の取引がある委託先の情報セキュリティ対策状況を把握している企業の割合は約86%である。一方、再委託先以降と取引があるにも関わらずその情報セキュリティ対策状況を把握している企業の割合は約47%である。
(2) 大企業(*2)は、委託先へ求める情報セキュリティについて「統一されたルール」を策定する傾向にある。
委託先が順守すべき情報セキュリティ管理を定めたルールの策定状況として、大企業では全社でまたは関連部署ごとに「統一されたルールがある」割合が84%であるのに対し、中小企業ではその割合は65%である。さらに「全社で統一されたルールがある」は、中小企業よりも大企業に強い傾向があり、大企業ではより全社のガバナンスを強化する傾向が見て取れる。
「委託を行う際の委託先が遵守すべき情報セキュリティ管理を定めたルールの策定の有無・状況」
(3) 中小企業は大企業よりも「委託先における情報セキュリティ管理の確認頻度が低い」傾向にある。
委託先が遵守すべき情報セキュリティ管理を定めたルール徹底の手法と頻度について『証跡の提示』においては、「頻繁・定期的に実施」している大企業の割合が81%であるのに対し、中小企業の割合は62%と約20ポイントも低い。「契約の時だけ」しか実施しない割合は大企業で15%であるのに対し、中小企業では27%と約12ポイント高い。契約時に一度しか実施しない場合、新しいリスクに対処するための必要な見直しの機会がなく、PDCAサイクルが回っていないことが推測される。『現場訪問による確認』や『普及・教育の実施』においても相対的に同じ傾向がみられる。
「委託を行う際の委託先が遵守すべき情報セキュリティ管理を定めたルールの徹底」
| 2017年4月6日 | 一部表現を変更しました |
|---|---|
| 2017年3月31日 | 誤記を修正しました |
| 2017年3月30日 | 公開 |
(PDF:2.87MB)