≪企業における情報漏洩対策の実態と意識調査≫
～全国の経営者層・情報システム管理者・従業員を対象に調査～
勤務先の資料・データの持ち出し経験は39.6％
17.6％の企業が情報漏洩被害にあっており
内部からのメール誤送信や持ち出しが約40%に及ぶ
～情報漏洩対策は他の経営課題と比較し、重要度が低い傾向～

情報セキュリティメーカーのデジタルアーツ株式会社（本社：東京都千代田区、代表取締役社長：道具　登志夫、以下　デジタルアーツ、証券コード2326）は、全国の企業に勤める従業員・情報システム担当者・経営陣1,648名を対象に、勤務先における情報漏洩対策の実態と意識について調査を実施しました。

勤務先の資料・データの持ち出し経験詳細と罪悪感について

• 勤務先の資料・データの持ち出しは、全体の39.6％が経験あり。
• 持ち出した資料・データの種類は、「企画書・提案資料」46.0％、「会議の議事録」32.4％、「事業計画・予算管理表」22.5％、「顧客情報」21.8％、「開発・製造に関連する資料」20.2％。
• 勤務先の資料・データを持ち出すことへの罪悪感は、全体で29.2％が「特にない」と回答。
• 持ち出し方法は、USB等の「記録メディアに保存」72.4％が圧倒的に多く、「Webメールに添付して自分宛に送信」21.8％、「勤務先のメールに添付して自分宛に送信」18.7％となった。
• 従業員全体で個人端末を業務で使っている割合は41.7％。また、個人端末の業務利用において、「許可されている」35.6％、「禁止されている」24.4％、「許可も禁止もされていない」40.0％となった。その中で、Webサービス・アプリの使用率は58.6％で、「Gmail」40.1％、「Yahoo！メール」30.2％、「LINE」22.2％を良く使用している。

実際に情報漏洩被害にあった経験

• 企業の経営陣・情報システム担当者が情報漏洩を経験した割合は17.6％。その内訳は、「内部によるメール誤送信」40.4％、「内部によるデータ持ち出し」38.5％、「外部からのサイバー攻撃」21.1％。
• 情報漏洩被害が経営にどのような悪影響を及ぼしたかについては、「信頼の失墜」37.6％、「対策コストの増加」25.7％、「ビジネス機会の損失」18.3％。

経営陣が実際に行っている対策と情報漏洩リスクに対する意識について

• 実際に行っている情報漏洩対策は、「外部からのサイバー攻撃、ウイルス等の入り口対策」74.4％が一番高く、内部からの情報漏洩に有効な対策は、「Webサービスの使用制限・監視」40.3％、「ファイル送受信時の暗号化対策」36.6％、「電子メールの誤送信対策・監視」29.3％と低かった。
• ここ最近になって、情報漏洩対策を重要視するようになったか変化を聞いたところ、重要度が増したと回答した合計は48.9％であった。
• 経営陣が抱える経営課題全体の中で、他の課題と比較して情報セキュリティリスクを「非常に重要である」と回答した割合は低く、「外部からの情報セキュリティリスク軽減」17.8％、「内部からの情報セキュリティリスク軽減」12.9％となった。

今回の調査は、ここ最近、企業が扱う機密情報や顧客情報といった重要情報が漏洩する事件が増えていることから、実務レベルで業務にあたる従業員、管理する立場の情報システム担当者、企業の経営を担う立場の経営陣に対し、勤務先の資料や情報をどのように扱っているのかといった実態と、過去に起きた情報漏洩の経験や被害内容、そして、経営陣が把握する経営リスクの中で、これだけ社会問題化している情報漏洩に対し、どれほど重要視し、実際どのような対策を行っているのか調査を行いました。

今回の調査結果から、全体の39.6％が勤務先の資料・データの持ち出し経験があり、持ち出すことの罪悪感は29.2％が「特にない」と回答しています。また、全体的に中小企業の経営陣の数値が高いことから、従業員への教育や対策だけでなく、経営陣自らのセキュリティ意識を高める必要があると言えるでしょう。

実際に情報漏洩被害を経験した企業は17.6％で、その内訳は、「内部によるメール誤送信」が40.4%、「内部によるデータ持ち出し」は38.5%、と内部からの情報漏洩が上位2つを占めていることがわかりました。このことから、外部からのサイバー攻撃対策も重要ですが、内部からの情報漏洩対策がより現実的で重要であり、まず取り組むべき課題と言えるでしょう。

そして、企業における情報漏洩対策の重要度について、経営陣全体の48.9%が「重要度が増した」と回答しましたが、実際は他の経営課題と比較すると、「情報セキュリティリスクの軽減」を「非常に重要である」と回答した割合は低く、「外部からの攻撃対策」は17.8%、「内部からの漏洩対策」は12.9％という結果でした。また、IT投資の中での情報漏洩対策において、57.4%が「投資していない」と回答していることから、日本の企業経営において、情報漏洩対策が経営課題の中で最重要課題として重要視されていないことがわかりました。

日本国内における中小企業・小規模事業者数は産業全体の99.7％（2012年2月時点、経済産業省発表）を占めていますが、業界問わず、機密情報や顧客情報が漏洩した場合の対策が不十分であり、企業の信頼を大きく損なうほどの損害がいつ起きてもおかしくない状態と言えます。また、大企業にとっても、取引先のセキュリティポリシーは非常に重要な判断材料になってきており、自社の資料やデータを扱う際には同じ管理ツールや対策ソフトの導入を条件にする等、情報漏洩が発生するあらゆるケースを想定して管理しなければならない時代になりました。

デジタルアーツでは今回の調査結果を通じて、特に企業の経営を担う経営陣に対し、自らの情報漏洩に対する意識を見直していただき、業界や企業規模問わず、機密情報や顧客情報といった重要情報の取り扱い運用ルールや情報漏洩対策が見直されることを期待しております。今後も、情報セキュリティメーカーとして、一人でも多くの方が安全なインターネットライフを過ごしていただけるように、全国レベルの調査結果を通じて様々な情報を提供してまいります。

今回の調査結果について

新日本有限責任監査法人　アドバイザリー事業部　マネージャー　中山裕之氏

今回の調査結果から、日本経済の根幹を支える中小企業においては、情報漏洩リスクの認識やそのリスクへの取り組みが昨今の環境変化に追いついていないことが窺えます。下請け企業、孫請け企業をサプライチェーンに抱える大手企業にとっては、預けている機密情報や顧客情報が、いつ、どういった手段や攻撃で流出してもおかしくない状況に置かれていることになり、企業のリスク管理における重要な課題と言えましょう。これから、日本のIT環境はクラウド化、モバイル化が進んで利便性が高まると同時に、ビジネスではグローバル化も進むため、各社のセキュリティ対策はますます複雑を極め、従来の情報セキュリティ対策の延長ではいずれ対処しきれなくなるでしょう。

このような状況の中、まずは経営層が自社で所有・保管する情報資産の価値を把握し、重要な情報資産に対する様々な脅威を想定したセキュリティ対策の実施に向けて旗を振らなければ、外からの攻撃による情報流出、悪意ある内部からの持ち出し、或いは従業員の過失による情報漏洩に起因するビジネスインパクトを防ぐことはできません。情報漏洩が起きた後に受けるビジネスインパクトは図り知れません。一度の情報漏洩で、事業活動の停滞を余儀なくされ、ステークホルダーから信頼を失い、最悪の場合、巨大な損失や企業生命を揺るがしかねない問題に発展することもあります。過去の情報漏洩事件を見れば、外部からの攻撃や内部の不正による情報漏洩は企業規模や業種に関係なく起こっています。各社の経営層は、情報漏洩のリスクを、別世界のホラーストーリーでも、社内の特定の担当の役割でもなく、自らの課題として取り組む時期にきています。

取り組みに当たっては、サイバー攻撃の手口は巧妙化の一途にあり、一つの会社が独自に取り組んで対応することが難しくなってきていることも認識しておく必要があります。そうした状況に対処するためには、業界内での情報共有の推進や外部の専門家の活用も考えていくべきでしょう。

【参照】調査結果の詳細をグラフ・解説入りで参照していただけます。
 「企業における情報漏洩対策の実態と意識調査」