情報漏洩で注意すべきは、「サイバー攻撃」より「盗難・紛失」?【JIPDEC/ITR調べ】
一般財団法人日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は、「企業IT利活用動向調査2019」の一部結果を発表した。今回は下記の5項目について、調査結果を速報として発表している。
- (1)過去1年間に認知した情報セキュリティ・インシデントの種類
- (2)2019年度のセキュリティ支出の増減予想
- (3)改正個人情報保護法およびJIS Q 15001の改訂内容についての関心
- (4)GDPR(EU一般データ保護規則)への対応状況
- (5)総務省による「パスワード変更は不要」という見解への対応
“サイバー攻撃”が増加する一方、従来の“紛失・盗難”にも要注意
「過去1年間に認知した情報セキュリティ・インシデントの種類」について聞くと、「Webサイトへの不正アクセス」13.1%、「外部からのなりすましメールの受信」17.8%など、“サイバー攻撃”によるものが増加していた。従来型サイバー攻撃であるマルウェア感染対策に加え、こうした攻撃にも注意が必要になってきたことがわかる。一方で、「情報機器」「モバイル用PC」「スマートフォン、携帯電話、タブレット」「USBメモリ/記録媒体」の“紛失・盗難”もわずかながら増加傾向を見せており、引き続き油断せず、対策を施す必要性は高い。
(2)2019年は「認証取得」にかける費用が増加
2019年度のセキュリティ関連支出について、“増加する見込みがもっとも高い”とされたのは「セキュリティ関連の認証取得に関する費用」27.4%だった。
(3)「個人情報匿名化」より、マイナンバーなど「個人識別符号」に関心
2017年5月の「個人情報保護法」改正、同年12月の「JIS Q 15001(個人情報保護マネジメントシステム)」改訂から1年以上が経過したので、あらためて特に関心のある項目を聞くと、「個人識別符号の定義と範囲、取扱い」39.9%がもっとも高く、以下「要配慮個人情報の定義と範囲、取扱い」30.5%、「匿名加工情報の定義と範囲、取扱い」27.0%が続いた。マーケティングやビッグデータ分析のための個人情報匿名化(非特定化)より、幅広い企業が影響を受ける個人識別符号(マイナンバーなど)のほうが関心が高い。
(4)GDPRは、いまだ3割超の企業が対応せず
GDPR施行後となった今回の調査では、「GDPRにのっとったかたちで適正に個人情報の移転を行っている」企業が前年より8ポイント増加し34.4%となったが、「知っているが何も対応していない」13.5%、「GDPRを気にすることなく個人情報の移転を行っている」19.8%と、いまだ対応していない企業が3割を超えた。
(5)5割以上が「パスワードの定期変更」を継続
2018年3月に総務省は「パスワードの定期的な変更は不要」との見解を示した。しかし、これを受けて「定期変更を止めた」企業はわずか8.0%。「これまで通りパスワードの定期変更を行っている」が54.5%と半数以上を占めた。ただし、認証方式の追加や変更など、高度化に取り組んだ企業も1割強存在している。
調査概要
- 【調査対象】従業員数50名以上の国内企業に勤務し、IT戦略策定または情報セキュリティ施策に関わる課長職相当職以上の役職者
- 【調査時期】2019年1月17日~2月4日
- 【調査方法】ITRの独自パネルに対するWebアンケート形式
- 【有効回答】686名
ソーシャルもやってます!