独立行政法人 情報処理推進機構(IPA)は4月9日、「2023年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」の報告書を発表した。30万者を突破したSECURITY ACTION自己宣言を行った事業者に対し、情報セキュリティ対策の実施状況や課題などを明らかにする目的で調査を実施したもの。
SECURITY ACTIONはら中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度であり、IPAが2017年4月から実施している。あくまで自己宣言であり、審査や認証があるわけではないが、取り組みを宣言することで自社サイトにロゴマークを表示することができる。
SECURITY ACTIONには、中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」に取り組む「一つ星」と、同ガイドラインの「5分でできる!情報セキュリティ自社診断」で自社の状況を把握し情報セキュリティポリシー(基本方針)を定め、外部に公開する「二つ星」の2種類がある。
今回の調査は、宣言事業者を対象に2024年1月15日から2月13日にかけて電子メールによるアンケート回答依頼とウェブアンケートシステムによる回収により実施されたもの、回答数は5,577件。
回答者の属性を見ると、総従業員数は「6~20名」が26.7%で最も高く、「1~5名」(26.3%、「21~50名」(20.4%)と続いた。「1~20名」が全体の半数以上を占めている。取り組み段階では「一つ星」が59.8%、「二つ星」が17.4%であった。業種では、「製造業(印刷業を含む)」が20.5%で最も高く、「建設業」(15.6%)、「卸売業・小売業」(14.8%)、「医療・福祉」(11.7%)などとなっている。
SECURITY ACTION宣言のロゴマークは、ウェブサイトや名刺に使用することが一般的であるが、掲載先で最も多かった回答は「ロゴマークは使用していない」であり、79.8%に及んだ。「商品、製品のパッケージへの印刷」という、規約で禁止されている使用もあった。
SECURITY ACTION宣言を行おうとしたきっかけでは、「補助金を申請する際の要件となっていた」が75.1%と高い割合を占めた。以降、24.4%が「情報セキュリティに係る自社の対応を改善したいと考えていた」、16.6%が「事業拡大や顧客開拓、取引先からの信頼を高める手段として有用と考えた」を挙げている。
調査ではまた、セキュリティ情報への関心の低さも露呈している。IPAの「情報セキュリティ対策支援サイト」の確認頻度は、「初めて知った」が39.4%と最も高く、「サイトは知っているがほとんど閲覧しない」(29.9%)、「年に数回程度」(21.4%)であった。「SECURITY ACTIONメールニュース」の登録状況についても、「知らない」が約5割に上った。
SECURITY ACTION宣言の効果については、「特に得られた効果はない」が33.7%と最も高く、「わからない」が26.3%でこれに続いた。23.0%が「経営層のセキュリティ対策への意識の向上」、22.8%が「従業員の情報管理やセキュリティへの意識の向上」を挙げた。「取引先からの信頼性の向上」とする回答も13.2%あった。
「SECURITY ACTION宣言」のような取り組みはすぐに目に見える効果が出たり、ましてや効果とやらをミクロ視点に過ぎない宣言者がありありと実感できるタイプのものではないだろう。それでもこうした行動心理学的アプローチは一定の意義のある新しい取り組みである。
