〜約半数が、情報漏えいは「外部犯行が多い」と考えていることが要因か〜
データベースの技術者集団として、データ活用推進のためのデータガバナンス製品・サービスを提供する株式会社インサイトテクノロジー(本社所在地:東京都渋谷区、代表取締役社長 CEO:森田 俊哉、https://www.insight-tec.com/、以下:インサイトテクノロジー)は、上場企業のDX推進部門、情報セキュリティ部門、情報システム部門105名を対象に、上場企業の改正個人情報保護法に対する意識調査を実施いたしましたので、お知らせいたします。
調査サマリー
調査概要
調査概要:上場企業の改正個人情報保護法に対する意識調査
調査方法:IDEATECHが提供するリサーチPR「リサピー」の企画によるインターネット調査
調査期間:2022年6月16日〜同年6月16日
有効回答:上場企業のDX推進部門、情報セキュリティ部門、情報システム部門105名
※構成比は小数点以下第2位を四捨五入しているため、合計しても必ずしも100とはなりません。
2022年4月に施行された改正個人情報保護法、全ての項目で2割以上が「未対応」
「Q1.2022年4月に改正個人情報保護法が施行されましたが、あなたが知っている改正個人情報保護法の項目・ポイントをお答えください。」(n=105)と質問したところ、全ての項目で約2割が「知らない」と回答しました。
<情報漏えい等発生時、「知った」時点から概ね3~5日以内に速報、「知った」時点から原則として30日以内に確報という報告の義務が発生>
・知っていて、対応をしている:74.3%
・知っているが、対応をしていない:8.6%
・知らない:17.1%
<個人データの提供者が個人情報取扱業者に対して、どのような内容のデータが提供されたのかを第三者提供記録について開示請求することが可能>
・知っていて、対応をしている:61.9%
・知っているが、対応をしていない:19.0%
・知らない:19.0%
<罰金金額が1億円以下に引き上げられた>
・知っていて、対応をしている:54.3%
・知っているが、対応をしていない:17.1%
・知らない:28.6%
改正個人情報保護法について、知っているが未対応の企業の1割以上は、今後の対応も未定
Q1で「知っているが、対応をしていない」と回答した方に、「Q2.あなたの会社で、この先体制を整えていく予定はありますか。」(n=32)と質問したところ、2つの項目で1割以上が「未定」と回答しました。
<情報漏えい等発生時、「知った」時点から概ね3~5日以内に速報、「知った」時点から原則として30日以内に確報という報告の義務が発生>
・1年以内に体制を整える予定:65.6%
・3年以内に体制を整える予定:21.9%
・未定:12.5%
<個人データの提供者が個人情報取扱業者に対して、どのような内容のデータが提供されたのかを第三者提供記録について開示請求することが可能>
・1年以内に体制を整える予定:46.9%
・3年以内に体制を整える予定:34.4%
・未定:18.8%
24.8%の上場企業が、セキュリティ予算「1億円以上」
「Q3.あなたのお勤め先のセキュリティ予算を教えてください。」(n=105)と質問したところ、「1億円以上」が24.8%、「1,000万円〜3,000万円未満」が23.8%という回答となりました。
・予算化されていない:6.7%
・1,000万円未満:12.4%
・1,000万円〜3,000万円未満:23.8%
・3,000万円〜5,000万円未満:16.2%
・5,000万円〜1億円未満:16.2%
・1億円以上:24.8%
一方で31.4%の上場企業が、DX推進予算「1億円以上」、セキュリティ予算より6.6ポイント高い結果に
「Q4.あなたのお勤め先がDX推進に使う予算を教えてください。」(n=105)と質問したところ、「1億円以上」が31.4%、「1,000万円〜3,000万円未満」が21.9%という回答となりました。
・予算化されていない:8.6%
・1,000万円未満:12.4%
・1,000万円〜3,000万円未満:21.9%
・3,000万円〜5,000万円未満:15.2%
・5,000万円〜1億円未満:10.5%
・1億円以上:31.4%
現在行っている情報セキュリティの施策、72.4%が「PCへのウイルス対策ソフトの導入」と回答
「Q5.あなたの会社で、現在行っている情報セキュリティの施策を教えてください。(複数回答)」(n=105)と質問したところ、「PCへのウイルス対策ソフトの導入」が72.4%、「PC操作のログ取得」が58.1%、「ファイアウォールの設置」が50.5%という回答となりました。
・PCへのウイルス対策ソフトの導入:72.4%
・PC操作のログ取得:58.1%
・ファイアウォールの設置:50.5%
・PCへの修正プログラムのインストール:49.5%
・サーバーデータの暗号化:48.6%
・PC内のデータの暗号化:47.6%
・IP-VPN(閉域網)の導入:43.8%
・サーバーのデータへのアクセスログ取得:43.8%
・PCログイン時の二段階認証:41.0%
・サーバーへのアクセスコントロール:41.0%
・セキュリティに関する規定の策定:39.0%
・サーバーデータのマスキング処理:36.2%
・UTMの導入:26.7%
・その他:0.0%
・わからない/答えられない:9.5%
他にも「情報セキュリティ研修」や「EDR導入」などの施策も
Q5で「わからない/答えられない」以外を回答した方に、「Q6.Q5で回答した以外に、あなたの会社で、現在行っている情報セキュリティの施策があれば、自由に教えてください。(自由回答)」(n=95)と質問したところ、「情報セキュリティ研修」や「EDR導入」など39の回答を得ることができました。
<自由回答・一部抜粋>
・26歳:情報セキュリティ研修
・35歳:EDR導入
・28歳:クラウドストライク
・54歳:DMZ監視ツール
・36歳:ゼロトラスト
・60歳:社員の意識改革
・53歳:ランサムウェアへの個人対応の啓蒙
・54歳:情報セキュリティ委員会とCIOの設置
今後必要だと思うセキュリティ対策、「PCへのウイルス対策ソフトの導入」「PC内のデータの暗号化」がそれぞれ4割以上
「Q7.あなたが思う、今後必要なセキュリティ対策を教えてください。(複数回答)」(n=105)と質問したところ、「PCへのウイルス対策ソフトの導入」が45.7%、「PC内のデータの暗号化」が41.0%、「PC操作のログ取得」が37.1%という回答となりました。
・PCへのウイルス対策ソフトの導入:45.7%
・PC内のデータの暗号化:41.0%
・PC操作のログ取得:37.1%
・ファイアウォールの設置:34.3%
・サーバーのデータへのアクセスログ取得:34.3%
・PCログイン時の二段階認証:33.3%
・IP-VPN(閉域網)の導入:33.3%
・PCへの修正プログラムのインストール:31.4%
・サーバーデータの暗号化:31.4%
・サーバーへのアクセスコントロール:30.5%
・セキュリティに関する規定の策定:28.6%
・サーバーデータのマスキング処理:24.8%
・UTMの導入:20.0%
・その他:1.9%
・わからない/答えられない:20.0%
約半数が、情報漏えいは「外部犯行が多い」と回答
「Q8.あなたは、情報漏えいは外部犯行と内部犯行のどちらが多いと思いますか。」(n=105)と質問したところ、「外部犯行のほうが多い」が22.9%、「やや外部犯行が多い」が24.8%という回答となりました。
・外部犯行のほうが多い:22.9%
・やや外部犯行が多い:24.8%
・同程度である:23.8%
・やや内部犯行のほうが多い:9.5%
・内部犯行のほうが多い:12.4%
・わからない/答えられない:6.7%
上場企業の個人情報保管場所、「自社サーバーとクラウドの両方」が63.8%で最多
「Q9.あなたの会社では、個人情報をどこに保管していますか。」(n=105)と質問したところ、「自社サーバーとクラウドの両方」が63.8%、「自社サーバーのみ」が15.2%という回答となりました。
・自社サーバーのみ:15.2%
・自社サーバーとクラウドの両方:63.8%
・クラウドのみ:9.5%
・紙で保管:2.9%
・わからない:8.6%
まとめ
今回は、上場企業のDX推進部門、情報セキュリティ部門、情報システム部門105名を対象に、上場企業の改正個人情報保護法に対する意識調査を実施しました。
まず、2022年4月に施行された改正個人情報保護法の項目について対応の状況を伺いました。情報漏えい等発生時の報告義務については約3割が「未対応」、第三者提供記録の開示請求が可能になった件については約4割が「未対応」、罰金金額の引き下げについて約半数が「未対応」の結果となりました。また、上場企業の約2割は、実施内容を認知した上で今後の対応も未定と回答しました。
次に、上場企業の予算について伺いました。セキュリティ予算は約4割が「3,000万円未満」と回答し、DX推進予算は約3割が「3,000万円未満」と回答しました。一方で、セキュリティ・DX推進のどちらの予算も「1億円以上」と回答した企業も2~3割いることから、予算設定が企業により大きな差があることが分かりました。米フレクセラが発表した「State of Tech Spend Report 2020」[1]では、IT予算全体で約4割が251万米ドル(約270億円)以上の支出があることから、日本の上場企業において、予算が低く見積もられている実態も見受けられます。
また、現在行っている情報セキュリティの施策を伺うと、72.4%が「PCへのウイルス対策ソフトの導入」と回答しており、他にも「情報セキュリティ研修」や「EDR導入」などの施策を実施する企業もあるようです。そこで、今後必要だと思うセキュリティ対策も伺ったところ、「PCへのウイルス対策ソフトの導入」「PC内のデータの暗号化」がそれぞれ4割以上という結果になりました。対策内容からも伺えるように、上場企業の約半数が、情報漏えいは「外部犯行が多い」と考えていることが分かりました。なお、上場企業の個人情報保管場所については、「自社サーバーとクラウドの両方」が63.8%で最多でした。
17年ぶりとなる個人情報保護法の大幅な改定が実施されましたが、内容の認知、対応はまだまだ完全ではなく、上場企業の中でも対応や予算に差が出ているようです。また約半数の企業の情報漏えいは外部犯行が多いと思われていますが、実は情報漏えいルートの多くが中途退職者などの内部犯行であり、内部不正による漏えい割合はむしろ増加[2]しています。こうした認識が要因となり、自社での改正個人情報保護法の対策時期が「未定」に一定の割合で回答が集まっているのでしょう。
また、PwCJapanグループの「経済犯罪実態調査2020」によると、経済犯罪の被害のうち、日本では36%が「サイバー犯罪」であることがわかっています。[3]情報を守るためには情報を取り扱う社内の人間の教育が必須であり、今一度よく理解した上で対策を検討する必要があるのではないでしょうか。
[1]Flexera、「State of Tech Spend Report 2020」2019年10月15日
https://2teyt17s6x52yehgd4cdel0r-wpengine.netdna-ssl.com/wp-content/uploads/2020/06/2020-State-of-Tech-Spend-Report-Flexera.pdf
[2]独立行政法人情報処理推進機構セキュリティセンター、「企業における営業秘密管理に関する実態調査2020」報告書、2021年3月18日掲載
https://www.ipa.go.jp/security/fy2020/reports/ts_kanri/index.html
[3]PwCJapanグループ、「経済犯罪実態調査2020」2020年7月31日掲載
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/2020/assets/pdf/economic-crime-survey.pdf
【NEC共催】DXのためのデータベースセキュリティ:改正個人情報保護法への対応とそれらを支援する製品の紹介セミナー
2022年4月に施行された改正個人情報保護法への対策は万全でしょうか?
改正法では個人情報を扱う企業の義務が増大しており、ポイントを理解して適切な対応をとる必要があります。
本セミナーでは、DXの一環としてデータ活用を推進する企業がすべき対策と、それらを支援するデータベースセキュリティ製品をご紹介します。
また、DX実現のためにOSS活用が進むなかで、導入を検討する企業が増えているPostgreSQLの透過的暗号化製品もご紹介します。
日時 :2022年7月13日(水)午後12:00 – 13:00
形式. :オンラインセミナー
参加費:無料
共催 :日本電気株式会社、株式会社インサイトテクノロジー
定員 :500名(zoom)
申込締め切りは2022年7月13日10:00まで
▼お申し込みはこちらから
https://www.insight-tec.com/events/seminar/20220713_nec/
7月20日、「JBpress 第4回公共DXフォーラム」へ登壇
中央省庁や自治体など日本全国の公共セクターにお勤めの方々を主な対象に、公共DXを加速させ、業務効率化・コスト削減・住民サービスの向上を達成する方法、電子行政を実現させイノベーションを創出するための方策について考察するオンラインセミナーを開催いたします。
弊社からCEOの森田 俊哉が「官公庁・自治体に今求められる、DXを成功に導くデータマネジメント」について13:35~13:55登壇いたします。お時間ある方はぜひご参加ください。
日時 :2022年7月20日(水)10:00~16:25
主催 :株式会社日本ビジネスプレス(JBpress)
受講料 :無料(事前登録制)
受講対象者:・官公庁(中央省庁、地方自治体、独立行政法人などの公共セクター)にお勤めの方々
・国会議員、地方議会議員の方々
▼お申し込みはこちらから
https://www.insight-tec.com/events/seminar/20220720_dxforum/
DX推進・データ活用基盤のための新ソリューション「インサイトデータガバナー」について
内容については下記をご覧ください。
https://prtimes.jp/main/html/rd/p/000000011.000087136.html
インサイトテクノロジーについて
インサイトテクノロジーは、1995年の創業以来、企業におけるデータの価値を最大化するために何が必要かを常に考え、データベースの専門家集団として、必要な製品やサービスを提供し続けてきました。
しかし、データを貯めることと、そこから情報を得ること自体はお客さまの課題解決に直接つながるものではありません。「インサイト」(本質を導き出すための洞察)こそが、お客さまの経営に価値をもたらすと確信しています。
社名の通り、データを活用しお客さまが求める本質を得られるように、「データ × AI」から得たインサイトによって、新しく豊かな社会を創造できるように、ソフトウェア、ハードウェア、サービスなど特定の分野や形態に捕らわれず、お客さまや社会が必要とされるものを提供しています。
また、インサイトテクノロジーが主催するデータ技術者向けカンファレンス「db tech showcase」には、世界中からデータ技術のエキスパートが講師として登壇し、毎年1,000名規模のエンジニアが参加しています。
プレスリリースに関するお問い合わせはこちらからお願いいたします。
また、PR TIMESでのプレスリリース記事は以下URLよりご覧ください。