【委託先リスク管理の実態を調査】過去5年間で62％の企業が委託先に関するインシデントを経験も、25.7％が対応体制を未整備

～中小企業へのランサム攻撃が増加しているが、31.3％が委託先のリスク評価の見直しを行わず～

株式会社アトミテック

2025年5月20日 10時00分

委託先リスク管理サービス「VendorTrustLink」を提供する株式会社アトミテック（本社：東京都港区、代表取締役社長：中西康貴）は、委託先リスク管理の担当者300名を対象として、委託先リスク管理の実態調査を実施いたしましたので、お知らせいたします。2023年の第1回に続く2回目の調査となります。

＞委託先リスク管理の実態調査（全文）をダウンロード

調査サマリー

調査概要

調査方法：	インターネット調査
調査対象：	全社の委託先に対して、リスク管理業務（リスク評価・棚卸・監査）を行っている人
サンプル数：	300サンプル
調査期間：	2025年3月
調査主体：	自社調査
調査レポート：	https://atomitech.jp/vendortrustlink/vendormaterial/vendor_risk_management_research/
利用条件	1 .情報の出典元として「株式会社アトミテック　委託先リスク管理の実態調査」を明記してください。 2 ,下記リンクを設置してください。 URL: https://atomitech.jp/vendortrustlink/vendormaterial/vendor_risk_management_research/

01. 過去5年以内に委託先でのインシデントを経験した企業は62％

5年以内の委託先でのインシデント発生率は62.0%となっており、前回の調査結果（66.0％）同様、多くの企業が何かしらの委託先にまつわるインシデントを経験していることが明らかになりました。

インシデントの内容としては「納期遅れ」が最も多く、次いで「未納品・納品物の不足」となっています。また「個人情報の漏洩」、「機密情報の漏洩」もそれぞれ20%弱となっており、リスクが高いことがわかりました。

02．ランサムウェア攻撃増加を受け、委託先のリスク評価の見直しを行ったのは7割弱

2024年は中小企業へのランサムウェア攻撃が増加した年であり、委託先が攻撃を受けることで委託元にまで影響が及んだ事例が多数発生しました。調査では、68.7％が委託先のリスク評価の見直しを行ったと回答した一方、「特に見直しはしていない」という回答が31.3％となりました。見直した点としては、「セキュリティ対策の要件を強化した」（43.3％）、「評価の頻度を増やした」（27.7％）が多い結果となっています。

03. 委託先でインシデントが発生した場合の対応体制を整備していない企業は25.7％

委託先でインシデントが発生した場合の対応体制については、25.7%が「特に整備していない」となりました。具体的に整備されているものとしては、「対応手順書」が34.3％、「緊急連絡体制」が31.0％となっています。また、広報対応や経営層への報告に関する体制が整えられている企業は2割に満たない状態となっています。

まとめ

今回は、委託先・取引先のリスク管理担当者300名を対象に、委託先リスク管理の実態調査を実施しました。

多くが5年以内に何らかの委託先におけるインシデントを経験しており、また、昨今のランサムウェア攻撃増加を受け、委託先のリスク評価の見直しを行っているということがわかりました。一方で、委託先でインシデントが発生した場合の対応体制を整備していない企業もあり、企業間で意識が分かれているという実態が明らかになりました。

委託先でのインシデントの発生率からもわかる通り、委託先・取引先のリスク評価は避けることはできません。ツールを使って手間や工数を削減することで、万が一に備えた体制を構築したり、積極的なリスク対策にリソースを割いたりすることができるかもしれません。

実態調査結果全文をダウンロードする