　まず対策の充実度を調べる診断シートを利用した実態評価では、70点未満が43社あり、対策が十分に進んでいない実態が分かった。業種別の平均点ではIT企業が90.3点と最も高く、以下はサービス（63.3点）、製造（59.8点）、流通（54.9点）だった。IT企業を除いて、業種別や規模別での大きな差異は見当たらないという。

　診断シートの項目別では、特にノートPCなどの管理や情報セキュリティ事故の事後対策において、IT企業全社が推奨対策を理解しているという満点の4.0点を記録した。しかし、そのほかの業種では1.0点前後にとどまった。パスワード管理や従業員への意識の徹底、明確なセキュリティルールの策定といった項目でも、IT企業とその他業種で格差が見受けられた。

　多くの中小企業で情報セキュリティ対策が進まない要因について、IPAは組織全体での取り組みが弱い点や、人的リソースと情報源の不足、投資意欲の停滞などがあると分析。普及促進には外部リソースの活用が不可欠と結論付けている。

　会見した仲田雄作理事は、「2003年と2007年のセキュリティポリシーの導入率を中小企業と大企業で比較したところ、大企業では2003年の38.8％から2007年は67.0％へ増加したが、中小企業では22.9％から32.8％とあまり伸びていない」と指摘。大企業から業務を受託する中小企業も多く、中小企業の情報セキュリティ対策は緊急性の高い課題だとしている。

　調査結果を受けて、IPAでは普及啓発の施策を強化すると表明。その1つとして「5分でできる！情報セキュリティポイント学習ツール」を作成した。同ツールは、ユーザーが所属する業界や職責を指定することで、把握すべき情報セキュリティの項目を5分程度で学べるもの。経営者から実務担当者までをカバーする105項目で構成されている。

学習ツールが取り上げるテーマ

　IPAは28日から同ツールをWebサイトで無償公開するとともに、経済産業省や日本セキュリティネットワーク協会、日本商工会議所、ITコーディネーター協会などを通じて全国の中小企業に配布していく。Webサイトでの提供は1項目ごとにダウンロードする仕組みだが、Vectorのサイトでは全項目を一括ダウンロードできるようにする。

　調査を支援した情報セキュリティ対策に関する研究会の大木栄二郎委員長（工学院大学教授）は、「中小企業での対策は経営層が中心になってトップダウンで実施していくのが望ましい。セキュリティは経営リスクに直結するものであり、経営者への啓発に注力したい」と話している。