“正解”は担当者の頭の中にしかない ― 約7割の企業で、リスクチェックの判断基準が属人化。「日本企業のリスクチェック実態調査 2026」レポートを公開
サプライチェーンセキュリティへの注目が高まる一方、それを「審査する側」の現場は物量と例外に溺れている ― 全国400名が明かすリスクチェックの実態。
情報セキュリティ認証や規制・ガイドラインへの準拠、社内の情報セキュリティ規程の整備・運用、監査や審査などの「文系のセキュリティ」領域をDXする、SecureNavi株式会社(本社:東京都港区、代表取締役CEO:井崎友博)は、委託先・クラウド・社内システム等へのリスクチェック(セキュリティ審査)の実態を把握するため、情報セキュリティ・情報システム部門で外部リスク審査または社内システムのセキュリティレビューを担当する400名を対象に調査を実施しました。
■ レポート「日本企業のリスクチェック実態調査 2026」はこちら:https://eu1.hubs.ly/H0wDtWs0

調査の背景と目的
サプライチェーンや委託先を狙った攻撃は、IPA「情報セキュリティ10大脅威」[組織編]で8年連続して上位に挙がり続け、2026年度には取引先のセキュリティを共通基準で評価するサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)も始動する見込みです。「取引先やクラウドの安全をどう確かめるか」が、いま多くの企業に突きつけられています。一方、その最前線でリスクチェックを担う現場の実態は、これまで定量的に語られてきませんでした。本調査からは、「体制が整っても、物量と例外対応に追われる」という、企業規模だけでは割り切れない構造的な実態が浮かび上がりました。
本調査は、こうした問題意識のもと、委託先・クラウド・社内システム等へのリスクチェック・セキュリティ審査業務の実施状況・体制・課題を定量的に明らかにすることを目的に実施しました。あわせて従業員規模・業種による違いにも着目し、各社が自社の立ち位置を相対的に把握できるベンチマークとなることを目指しています。
調査概要
■ レポート名
日本企業のリスクチェック実態調査 2026
■ 調査目的
委託先・クラウド・社内システム等へのリスクチェック/セキュリティ審査の実施状況・体制・課題を定量的に把握する
■ 調査方法
インターネット調査
■ 調査対象者数
合計:400名(情報セキュリティ・情報システム部門で、外部リスク審査または社内システムのセキュリティレビューを担当する方)
■ 調査期間
2026年6月9日〜2026年6月10日
調査サマリー
「全部は見きれていない」が約4割 ― 定期リスクチェックを全対象に実施できているのは半数弱
定期的なリスクチェック・セキュリティ審査を「すべての対象に実施できている」と回答した企業は47.8%にとどまり、「一部の対象にのみ実施」が39.8%を占めました。実施率は中小(〜299名)の29.8%から超大手(10,000名以上)の74.1%まで開きがあり、増え続ける委託先・クラウド・グループ会社・社内システムに、審査体制が追いついていない実態がうかがえます。

審査の“正解”は人の頭の中に ― 約7割で判断基準が属人化
リスクチェックの判断基準が「明確で誰でも判断できる」状態にある企業はわずか22.5%。「ある程度明確だが解釈のゆれがある」が44.8%で最多となり、「担当者の経験・知識に依存」「ほとんど明確化されておらず都度判断」を合わせると、約7割の企業で判断が人や状況に左右される状態にありました。担当者が代わると判断がぶれ、「なぜその結論に至ったか」の説明も難しくなります。こうした属人化はそのまま、ガバナンス上のリスクにつながります。

「大企業ほど安心」ではない ― 危機感は“準大手〜大手”でピーク、超大手で反転
注目すべきは「危機感」の分布です。「このままではリスクチェック・セキュリティ審査業務が回らなくなる」という危機感(強く+少し感じている)は、企業規模が大きくなるほど単純に高まるのではなく、従業員1,000〜9,999名で68.3%とピークを迎え、超大手(10,000名以上)では53.4%へと反転して低下しました(全体は60.5%)。最も「立ち行かない」という切迫感を抱えているのは、対象や件数が急増する一方で専任体制を組み切る手前にある“成長の過渡期”の企業層であり、危険のピークは必ずしも超大手企業にあるわけではないことが示唆されます。

同じ「大変」でも中身が違う ― 課題は企業規模で質が変わる
主要課題は従業員規模で中身が大きく異なりました。中小は「判断基準の属人化」(37.5%)と「人員不足」(36.5%)、準大手〜大手は「リスク受容(例外)対応が多く管理しきれない」(37.3%)、超大手は「審査件数が多く処理が追いつかない」(39.7%)が、それぞれ最大の課題です。つまり、自社の規模を知ることは「悩みの型」を知ることに近く、規模ごとに打ち手(対策)は変わります。

このほかにも、対象別(委託先・クラウド・グループ会社・社内システム)の管理件数・新規発生頻度、リスク受容(例外)対応の実態、改善意向の規模別比較などの全10問の設問、また、規模別・業種別のクロス集計結果をレポートにまとめています。
■レポート『日本企業のリスクチェック実態調査 2026』のダウンロードはこちら:
レポート解説セミナー開催のご案内
本レポートの内容を、より詳しくお話しするオンラインセミナーを開催します。調査結果のポイントに加え、サプライチェーンや委託先を狙った攻撃の動向、SCS評価制度といった最新トピック、リスクチェックの現場で実際に起きていることを、2線の匠クラウド事業責任者・佐藤 晃一がわかりやすく解説します。参加費は無料です。ぜひお気軽にご参加ください。
■セミナーの詳細・お申し込みはこちら: https://eu1.hubs.ly/H0wDtWq0
担当者コメント
SecureNavi株式会社 2線の匠クラウド 事業責任者 佐藤 晃一
調査結果は、ある意味で予想通りでした。危機感が最も高いのは最大手ではなく、その手前の"準大手〜大手"。専任体制を組み切るには届かない規模のまま、増え続ける対象や例外対応が一気に肩にのしかかる。多くの企業にとって、この規模感は通過点ではなくひとつの定常状態です。だからこそ、今の苦しさは自然に解消されるものではなく、業務の"設計"を変えない限り続いていきます。
突き詰めれば、これは個人の頑張りの問題ではなく、業務の"設計"の問題です。作業に追われるから基準が整わない、基準が整わないから作業も減らない。この悪循環を断ち切らない限り、人を増やしても追いつきません。向かうべき姿は「人を増やさずに回せる仕組み」「属人化の解消」「例外の管理」の3つに集約されます。そこへの打ち手は規模によって異なりますが、目指す方向は同じです。
2線の本来の役割は、「チェックをさばく作業者」ではなく、「統制を設計して、統制する人」だと思っています。組織全体の判断が揃う仕組みをつくり、それを使ってリスクを継続的に見極め、受け入れるものと手を打つものを判断し続けること。それが2線の本質的な役割です。目の前の作業に追われるほど、この役割に向き合う時間は失われていきます。本レポートが、自社のリスクチェックを"こなす作業"から"リスクを管理する営み"へととらえ直すきっかけになれば幸いです。
「2線の匠クラウド」について
本調査で浮き彫りになった「属人化」「物量」「例外対応」は、担当者個人の問題ではなく、2線業務そのものが人手を前提に設計されてきたことに起因する業務構造上の課題だと、SecureNaviは捉えています。「2線の匠クラウド」は、委託先・システム・クラウド・グループ会社などへのセキュリティリスク評価業務を「誰が担当しても同じ水準で実行できる業務モデル」として再設計したクラウドサービスです。評価プロセスの標準化、回答・証跡・履歴の一元管理、AIによるレビュー支援などを通じて、「人頼み」の運用から再現可能な「業務構造」への転換を支援します。
■2線部門のためのセキュリティリスク評価クラウド「2線の匠クラウド」:
SecureNavi株式会社について
■ 会社概要
-
会社名:SecureNavi株式会社
-
代表者:代表取締役CEO 井崎 友博
-
所在地:〒105-0003 東京都港区西新橋3-23-6 白川ショールームビル4F
-
コーポレートサイト:https://secure-navi-inc.jp/
■ 提供サービス
-
ISMS・Pマークオートメーションツール「SecureNavi」:https://secure-navi.jp/
-
あらゆるセキュリティ規制対応の自動化・効率化プラットフォーム「Fit&Gap」:https://fitgap.jp/fg
-
2線部門のためのセキュリティリスク評価クラウド「2線の匠クラウド」:https://fitgap.jp/audit
-
セキュリティチェックシート自動対応ツール「SecureLight」:https://secure-navi.jp/securelight
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
- 種類
- 調査レポート
- ビジネスカテゴリ
- アプリケーション・セキュリティネットサービス
- ダウンロード
