すぐに対策をしない理由は「自社がサイバー攻撃による被害に遭う可能性が低いから」　サイバーセキュリティクラウド：約8割が「改正個人情報保護法でセキュリティ対策強化を考えた」

　サイバーセキュリティクラウドは2021年2月16日、企業の経営層を対象に実施した「改正個人情報保護法成立後のサイバーセキュリティ対策に関する意識調査」の結果を発表した。それによると8割以上が、改正個人情報保護法の成立によってサイバーセキュリティ対策強化の必要性を感じていることが分かった。一方で「攻撃の被害に遭う可能性が低い」「費用がない」という理由からサイバーセキュリティ対策について検討もしない経営層が一定数いることも分かった。

　今回の調査は、20〜79歳の経営層（会社経営者や役員）が対象で、従業員規模が100人以下、101〜300人、300人超の企業の各200人ずつ計600人から回答を得た。

改正法を認識する約半数が「セキュリティ強化の必要性」を感じている

　2020年6月に改正個人情報保護法が成立したことを知っているかどうかを尋ねると、全体の63.2％が成立したことを認識していた。従業員数が300人超の大企業に限ると74.0％が認識していた。改正法の成立を認識している経営層に対してサイバーセキュリティ対策の強化について聞くと「対策の必要性を感じる」と回答した割合は85.2％。大企業に限ると91.2％だった。

改正法の成立を受け、サイバーセキュリティ対策強化の必要性を感じている（左：全企業、右：従業員300人以上の企業　出典：サイバーセキュリティクラウド）

　改正法の成立を認識している経営層のうち46.2％が「サイバーセキュリティ対策を強化した」または「1年以内に強化する予定」と回答した。大企業に限るとその割合は54.1％で、過半を占めた。具体的なサイバーセキュリティ対策としては、「ファイアウォール」（50.9％）が最も多く、次いで「脆弱（ぜいじゃく）性診断」（40.6％）、「ログ監視」（40.0％）と続いた。

　法改正を受けてもサイバーセキュリティ対策について検討もしないという経営層に理由を尋ねると「サイバーリスクによる個人情報漏えい被害に遭う可能性が低いと考えている」が43.6％。次いで「対策に充てる費用に余裕がない」（27.9％）、「具体的な取り組み方法が分かりにくい」（25％）だった。

「セキュリティ対策は情シス担当者に任せている」が約3割

　「過去1年以内にサイバー攻撃による何らかの被害に遭った経験があるか」と尋ねると、「被害に遭った経験がある」と回答した割合は全体の7.7％。大企業に限ると10.5％だった。被害事例は「システム負荷増」が39.1％、「情報漏えい」が34.8％、「システムダウン」が26.1％だった。

　実施しているセキュリティ対策について聞くと「ファイアウォール」（60.5％）との回答が最も多かったが、次いで「導入しているセキュリティの種類が分からない／情シス担当者に任せている」（34.5％）、「ログ監視」（34.0％）と続いた。

実施しているセキュリティ対策（出典：サイバーセキュリティクラウド）

　サイバーセキュリティクラウドは今回の調査結果を受けて、「改正個人情報保護法の成立後、経営層が法改正についての理解を深め、サイバーセキュリティ対策への意識を高める中で、自社が保有する個人情報を守るためにはどのようなセキュリティ対策が必要なのかを正しく理解できていない経営層が多数存在する。自社はセキュリティ対策が十分だと認識していても、実態としてサイバー攻撃に対して正しく対策できていないため、思いもよらず被害に遭ってしまう企業が多数存在する恐れが高い」と述べている。