【自社の情報セキュリティ管理】3割が万全でないと思うと回答!理由は『データ管理のルールが定まっていない』『社外に持ち出せる状態』が多数
ISO27001取得でセキュリティに関する信頼が得られると思う方は8割以上
皆さんの企業では、取引先のデータや顧客データなどをどのように保持・保管していますか?
個人情報の流出や情報漏洩を起こしてしまうと、企業としての信頼を損なうことになりかねません。
新規取引先と契約を締結する際には秘密保持契約書が必要な場合も多いですが、その際に「情報セキュリティ対策」に関して問われることも珍しくありません。
情報セキュリティ対策が重要なのはデジタルであってもアナログ(紙媒体)であっても同じであり、従業員の情報セキュリティに対するリテラシーなども問われます。
では、IT系の中小企業を例に、実際の情報セキュリティ対策はどのような状態にあるのでしょうか?
また、情報セキュリティ対策の具体例として、国際規格であるISO認証を取得して情報セキュリティ管理の有効性を可視化することなどが挙げられますが、 実際に重要性を認識されている経営者はどのくらいいらっしゃるのでしょう。
そこで今回、ISO認証取得・運用支援サービス『ISOプロ』(https://activation-service.jp/iso/)を運営するNSSスマートコンサルティング株式会社は、従業員数300人以下のIT系中小企業経営者を対象に、「自社の情報セキュリティ管理の課題」に関する実態調査を実施しました。
<調査概要>
調査概要:「自社の情報セキュリティ管理の課題」に関する実態調査
【調査期間】2023年10月12日(木)~2023年10月13日(金)
【調査方法】リンクアンドパートナーズが提供する調査PR「RRP」によるインターネット調査
【調査人数】1,005人
【調査対象】調査回答時に従業員数300人以下のIT系中小企業経営者であると回答したモニター
【モニター提供元】ゼネラルリサーチ
社内の情報セキュリティ対策は万全?「はい」と回答した方が行っている対策とは?
はじめに、社内の情報セキュリティ対策について伺っていきたいと思います。
「社内の情報セキュリティ対策は万全だと思いますか?」と質問したところ、『はい(68.5%)』『いいえ(31.5%)』という回答結果になりました。
6割以上の方が、情報セキュリティ対策は万全だと思うようです。
では、実際にどのような対策を行っているのでしょうか?
『はい』と回答した方に詳しく聞いてみました。
■社内の情報セキュリティ対策は万全!行っている対策とは
・クラウドサービスを使う(20代/男性/北海道)
・外部より専門の方を費用をかけて招いている(20代/男性/宮城県)
・セキュリティサービスは外部のサービスを利用している(30代/男性/神奈川県)
・専門の方に任せている(40代/女性/福島県)
情報セキュリティ対策が万全だと思う方は、クラウドサービスや専門の方に任せた対策を行っていることがわかりました。
ただ、企業にとって何かがあった際に致命的な損失となりやすいのが情報セキュリティ分野。
外部に任せており社内のセキュリティ対策の理解度が追い付いていない可能性や、
対策が十分ではない可能性というリスクも考えなければいけません。
情報セキュリティ対策に不安を感じている方の実態を調査・解析
情報セキュリティ対策が万全だと思う方は、外部サービスの利用や専門の方に任せていたりすることがわかりました。
一方で、先程の質問で『いいえ』と回答した方が3割程度いましたが、どのような理由で情報セキュリティ対策が万全ではないと思うのでしょうか?
ここからは、情報セキュリティ対策が万全ではないと思う方を対象に、その理由を伺いました。
「以下のうち、情報セキュリティ対策が万全ではないと思う理由として近いものを教えてください(複数回答可)」と質問したところ、『データや書類の保管・破棄に関するルールが明確に定まっていないため(36.3%)』と回答した方が最も多く、次いで『オフィス以外にデータを持ち出せる状態のため(35.0%)』『実際に問題が発生したことがあるため(26.8%)』と続きました。
データや書類を保管、破棄する際のルールが定まっていないことや、外部にデータを持ち出せる状態であることから、情報セキュリティ対策が万全ではないと思う方が多いようです。
また、実際に問題が発生した経験がある方も26.8%と、決して見過ごすことはできない結果となりました。
情報セキュリティ対策が万全ではないと思う理由を詳しく聞いてみました。
■情報セキュリティ対策が万全ではないと思う理由は
・データではなく社員がペーパーコピーして持ち出す不安要素があるため(50代/女性/長崎県)
・会社としてセキュリティに関する基準ができていない(60代/男性/福岡県)
・顧客の個人情報管理にアクセスできる社員数が多い(40代/男性/東京都)
・社内のパソコンから社員が情報を社外に持ち出すことは可能であるため(50代/女性/東京都)
社内のパソコンから情報を持ち出すことが可能であることや、会社として情報セキュリティに関する基準ができていないといった理由で情報セキュリティ対策が万全ではないと思うようです。
情報セキュリティに関する事故が起きるとどうなる?新規取引ができないケースも!?
情報セキュリティ対策が万全ではないと思う方の理由が明らかになりました。
では、セキュリティ管理が徹底できていないことで問題が発生したことなどはあるのでしょうか?
引き続き、情報セキュリティ対策が万全ではないと思う方を対象に伺いました。
「以下の中で、セキュリティ管理が徹底できていないことから社内で発生してしまった事例を教えてください(複数回答可)」と質問したところ、『まだ問題は起きていない(32.2%)』と回答した方が最も多く、次いで『会社のパソコンがウイルスに感染した(27.1%)』『サイバー攻撃を受け、機器の故障やシステムダウンなどの障害が発生した(18.3%)』と続きました。
まだ問題は起きていないと回答した方が多い一方で、パソコンがウイルスに感染した、サイバー攻撃を受けて機器の故障やシステムがダウンしてしまったといった経験をしている方も多いことがわかりました。
半数が新規取引の際にセキュリティチェックシートの提出を求められていたことが判明
セキュリティ管理が徹底できていないことで、問題に繋がったケースもあることがわかりました。
セキュリティ対策に関しては、社内のみの問題だけではなく、企業間での取引開始の際にも確認されるポイントとなります。
では、新規取引の際にセキュリティチェックシートを求められたことなどはあるのでしょうか?
引き続き、情報セキュリティ対策が万全ではないと思う方に聞いてみたいと思います。
「新規取引の際にセキュリティチェックシートの提出を求められたことはありますか?」と質問したところ、半数の方が『はい(50.5%)』と回答しました。
多くの方がセキュリティチェックシートを求められたことがあるようですが、その際はスムーズに対応できたのでしょうか?
セキュリティチェックシートを求められたことがあると回答した方に対し、「そのときの対応はスムーズに行えましたか?」と質問したところ、半数の方が『いいえ(50.6%)』と回答しました。
セキュリティチェックシートを求められた際の対応がスムーズに行えなかった方が多いようですが、上手く進まなかった理由とは何なのでしょうか?
前の質問で『いいえ』と回答した方に詳しく聞いてみました。
■セキュリティチェックシートを求められた際に、対応がスムーズに行えなかった理由とは
・社員も取り扱いに不慣れで処理に手間取ってしまったから(30代/女性/栃木県)
・時間がかかったため間に合わなかった(40代/男性/福岡県)
・作成時に時間と手間がかかる(50代/男性/神奈川県)
・回答に困ることが多かった(50代/男性/大阪府)
セキュリティチェックシートについて不慣れであることから、処理に手間取ってしまったり、時間がかかったりしたようです。
新規取引拡大にはISO認証を取得することが効果的ということを知っている経営者の割合は?
新規取引の際に、セキュリティチェックシートを求められたもののスムーズに対応できなかった方の割合などがわかりました。
事業を行うなかで、取引先や顧客からセキュリティ対策に関する体制作りは欠かせないものだと思います。
体制作りを盤石にし、より新規取引を増加させるための取り組みとして、ISO認証の取得という選択肢もございます。
ISO認証とは、自社が構築したマネジメントシステムや、提供する製品やサービスの品質が国際的な基準をクリアしていると証明するものであり、
その中でも、組織内の情報を守り有効活用するためのISOの規格の一つとして、ISO27001(ISMS:情報セキュリティマネジメントシステム)があります。
実際にISO27001の取得をすることで、信頼が得られると思う方はどのくらいいるのでしょうか?
再び全員に伺っていきたいと思います。
「世界共通の規格であるISO27001(ISMS:情報セキュリティマネジメントシステム)を取得することで、取引先や顧客からセキュリティに関する信頼が得られると思いますか?」と質問したところ、8割以上の方が『はい(84.3%)』と回答しました。
非常に多くの方が、世界共通の規格であるISO27001(ISMS:情報セキュリティマネジメントシステム)を取得することでセキュリティに関する信頼が得られると思うようですが、では、ISO27001(ISMS:情報セキュリティマネジメントシステム)などの認証がないことで契約に至らなかった経験はあるのでしょうか?
最後に、「ISO27001などの認証がないことで実際に契約に至らなかったことはありましたか?」と質問したところ、6割以上の方が『はい(65.2%)』と回答しました。
ISO27001などの認証がないことで取引先や顧客から信頼を得ることができず、契約が成立しなかったという方も少なくないようです。
【まとめ】情報セキュリティ管理ができていないことで新規取引ができないケースもある!セキュリティ管理について見直してみては?
今回の調査結果で、社内の情報セキュリティ対策について万全でないと思う方が3割以上いることが明らかになりました。
データや書類を保管・破棄する際のルールが決まっていないことや社外にデータを持ち出せる状態であることから、パソコンがウイルスに感染したり、サーバー攻撃を受けた経験がある方もいるようです。
また、新規取引先からセキュリティチェックシートを求められた経験がある方もおり、作業に手間や時間がかかりスムーズに行うことができなかったことがわかりました。
セキュリティ対策に関して強化していることを証明するISO27001(ISMS:情報セキュリティマネジメントシステム)などを取得していないことで契約に至らなかった方も多く、ISO27001(ISMS:情報セキュリティマネジメントシステム)を取得することで、取引先や顧客から信頼は得られると思う方が非常に多いようです。
取引先から信頼を得るためにも、社内の情報セキュリティ対策を見直してみてはいかがでしょうか?
ISO・HACCPの新規取得・運用サポートなら『ISOプロ』
今回、「自社の情報セキュリティ管理の課題」に関する実態調査を実施したNSSスマートコンサルティング株式会社は、ISO・HACCPの新規取得・運用サポートサイト『ISOプロ』(https://activation-service.jp/iso/)を運営しています。
ISOプロは、ISO審査員資格保有者やISO構築コンサルタント経験者が多く所属するISOの専門家集団です。
当サイトで発信する情報を通じ、サイト利用者様がISOの構築や運用などISOに関わる業務を円滑に進め、事業の成長につながるよう信頼できる情報発信を提供します。
ISOプロについて:https://activation-service.jp/iso/philosophy
『ISOプロが訊く』ISO取得企業へのインタビュー掲載中
『ISOプロが訊く』とは、ISOを取得した企業様にISOプロがインタビューをする企画です。
その企業が、ISOを取得した理由や取得する上での課題、ISOを取得して何が変わったのかを伺っています。
ISO運用企業様の生の声をぜひご覧ください。
ISOプロが訊く:https://activation-service.jp/iso/interview
ISO・HACCPコンサルタント募集中
ISOプロでは、全国各地のISO・HACCPコンサルタントを募集しています。
『お客様の実情に合わせた各種ISOやHACCPの構築、運用』をポリシーとして、サポート業務を行っております。私たちの想いに共感いただける方、少しでもご興味がある方はぜひお問い合わせください。
お問い合わせフォーム:https://activation-service.jp/iso/lp/form-collabo-entry/
【会社概要】
会社名:NSSスマートコンサルティング株式会社
所在地:東京都新宿区西新宿6-8-1 住友不動産新宿オークタワー21階
代表者:安藤栄祐
URL:https://nss-smart-consulting.co.jp/
事業内容:ISO認証コンサルティング事業、助成金コンサルティング事業
【記事等でのご利用にあたって】
本プレスリリースの内容を引用される際は、以下のご対応をお願いいたします。
・引用元が「ゼネラルリサーチ調査」「NSSスマートコンサルティング株式会社」である旨の記載
・ウェブサイトで使用する場合は、出典元として、下記リンクを設置してください。
URL:https://activation-service.jp/iso/
すべての画像