個人情報保護法「対応済み」の企業は8割、でも「自信がある」は……

NRIセキュアテクノロジーズの調査によると、個人情報保護法への対応は一通り完了したという企業が8割に上った。しかし約4割は、対応に不安を感じているという。

[高橋睦美，ITmedia]

　NRIセキュアテクノロジーズ（NRIセキュア）が国内企業約3000社を対象に行った調査によると、企業のセキュリティ対策は少しずつだが前進しており、個人情報保護法への対応も一通り完了したという企業が多数を占めた。だが一方で、「人」に関する対策や企業としての包括的な取り組みに自信を持つ企業はまだ少ないようだ。

　NRIセキュアは7月26日、「企業における情報セキュリティ実態調査2006」の結果を公開した。この調査は、5月15日から31日にかけて国内の一部／二部上場企業など3001社を対象に郵送で実施したもので、回収サンプル数は449票だった。

　この調査によると、情報セキュリティポリシーを「すでに策定している」とした企業は、2005年の32.5％から若干増えて全体の44.1％となった。逆に「現在のところ策定していない」は、前年の11.7％から9.2％に減少。少しずつではあるが前進していることが見て取れる。

　また「個人情報保護法」への対応状況を尋ねたところ、実に81％が「対応済み」という回答だった。しかし、その対応に自信があるかどうかとなると話は別だ。NRIセキュアによると、約4割の企業が個人情報保護法対応に「あまり自信がない」「まったく自信がない」と回答した。

　ちなみに、対応状況の自己評価を探ったところ、「ネットワークのセキュリティ対策」「PCのセキュリティ対策」「物理的セキュリティ対策」については、「非常に自信がある」「やや自信がある」と回答した企業が半数以上に上った。一方、「情報セキュリティインシデント対応体制の構築」や「従業員の情報セキュリティ教育・研修」「事業継続計画に沿った具体的な対策の実施」といった項目では、逆に半数以上が自信がないと回答している。

　NRIセキュアの情報セキュリティ調査室セキュリティコンサルタントの村主俊彦氏は、「ピンポイントでできる対策には自信がある一方で、組織全体に関わる対策、機械だけでなく人に関わる対策にはあまり自信が持てないのではないか」と指摘している。

NRIセキュア、情報セキュリティ調査室セキュリティコンサルタントの村主俊彦氏

　このことは、情報セキュリティ関連投資の動向についての質問からも裏付けられる。「事業継続計画に沿った具体的な対策の実施」では平均して約8000万円、「ISMSなどの情報セキュリティ関連印象の取得」や「PCのセキュリティ管理」「個人情報保護法対応」といった項目にも平均2000万円以上の投資がなされている一方で、「従業員の情報セキュリティ教育・研修」は約470万円、「情報セキュリティ監査の実施」は約310万にとどまった。

　「お金をかければいいものではない。しかし、もう少しこうした分野への投資があってもいいのではないか」（村主氏）

　なお、情報セキュリティ対策への投資全体について見ると、「ほぼ同額となる見通し」が36.5％、「小幅に増える見通し」は35.8％。2005年に18.4％あった「かなり増える」は11.8％に減少した。同社では、個人情報保護法の施行とその対応に追われた一年が終わり、投資が一段落付いた状況だと分析している。

　では、企業は次にどんな対策に取り組もうとしているのか。

　今後取り組むべき対策を尋ねたところ、最も多かったのは「実施したセキュリティ対策の有効性評価」（83.3％）。続いて、情報セキュリティ関連の人材の育成や知識／ノウハウの共有、セキュリティマネジメントの確立といった、人や組織に関する項目が多く挙げられた。

今後投資を予定している対策

今後取り組むべき対策

　興味深いのは、「従業員の管理・監視や内部統制の強化」を74.4％が取り組むべき項目として挙げ、5位に入っていることだ。別の質問で、今後投資を予定している対策について尋ねたところ、「金融商品取引法（日本版SOX法）対応」と回答した企業は68.4％に上ったことと合わせても、企業の次の取り組みとして、日本版SOX法対応や内部統制の強化が大きくクローズアップされていることが分かる。