IT記者会Report

IT/ICTのこと、アレヤコレヤ

マイナンバー制度へのシステム対応は、多くの企業がアプリケーションの部分的な改変を想定

 一般財団法人日本情報経済社会推進協会(JIPDEC、会長 牧野 力)と株式会社アイ・ティ・アール(ITR、代表取締役 内山悟志)は本日、国内企業698社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2015」の一部結果を速報として発表いたします。
 本調査では、重視する経営課題や情報セキュリティ対策の取り組み状況、2015年度からの施行が予定されている社会保障・税番号(マイナンバー制度)に対する意識などについて調査・分析しています。

■経営課題として「情報セキュリティの強化」が上昇
 まず、重視する経営課題について問うたところ、「業務プロセスの効率化」が過去の調査結果に引き続き首位となりましたが、「情報セキュリティの強化」を挙げた企業が前年調査から大きく増加し、2番目となりました。近年、値が上昇していた「社内コミュニケーションの強化」「社内体制・組織の再構築」は、逆に前年から若干値が低下しており、守りを固めようとする企業の姿勢が垣間見られます。

■半数以上の企業が「内部犯行による情報漏洩リスク」を重視
 「情報セキュリティの強化」が重視されている背景には、2014年に発覚し社会問題となった関連会社スタッフの不正による大量情報漏洩事件があると見られます。今回の調査では、有効回答のうち5.2%(698社中36社)が過去1年間に「内部不正による個人情報の漏洩・逸失を経験した」と回答しました。
 また、「内部犯行による重要情報の漏洩・消失」のリスクの重視度合いを問うたところ、「最優先で対応が求められている」とした企業が25.4%、「セキュリティ課題の中でも優先度が高い」とした企業が29.4%に上り、合わせて半数以上(54.7%)が優先度の高い課題であると答えました。
 ちなみに、「標的型サイバー攻撃」のリスクの重視度合いは、「最優先で対応が求められている」が21.9%、「セキュリティ課題の中でも優先度が高い」が27.9%となり、両者の合計は49.9%でした。内部犯行を特に重視している企業の割合は、それよりも約5ポイント高くなっています。

マイナンバー制度は、既存アプリケーションの改変での対応が多数派
 2016年1月以降、社会保障、税、災害対策のための本格利用の開始が予定されている「社会保障・税番号制度(マイナンバー制度)」に関する情報システムの対応状況について調査を実施しました。その結果、全体の74%が対応の必要性を感じており、そのうち約半数は、完了または作業が進行中であると回答しています。また、対応または対応予定の企業に、具体的な対応の範囲を問うたところ、「人事/給与管理システムの改変」が54.9%で最多となりました。
 この結果からは、多くの企業が既存アプリケーション・システムの改変を中心とした限定的な対応を想定していることがうかがえます。また、第三者機関である特定個人情報保護委員会による「特定個人情報の適正な取扱いに関するガイドライン」が公表されて間もない時点で約2割が「完了」と回答しているほか、「わからない」とした回答者も多いことから、IT部門の責任者や情報セキュリティ担当者が、制度対応の実態を十分に把握できていない様子もうかがえます。
 なお、調査では、業務の手順やプロセス、役割分担といった業務面での対応状況についても回答を求めましたが、こちらも、システムの対応状況とほぼ同一の値となりました。業務の対応とシステムの対応を同時並行で実施している企業が多いと推察されます。

■業種ごとの温度差が顕著なクラウド・コンピューティングに対するセキュリ
ティ不安
 クラウド・コンピューティングの利用において懸案事項のひとつと考えられているセキュリティですが、今回の調査では、可用性や災害対応、マルチデバイス対応だけでなく、セキュリティ関連のテーマについても「オンプレミス(*)よりもクラウドが有利である」と考える人が多数派を占めていることが確認されました。また、勤務先の業種によって、その認識に温度差があることも明らかになりました。ちなみに、「情報漏洩被害の軽減」を図るうえで、クラウド、オンプレミスのいずれが有利かを問うた設問では、「金融・保険」「情報通信」「製造」の3業種では、回答結果が比較的拮抗しているものの、他の業種は「オンプレミスが有利である」と考える人が少ないとの結果が示されました。
*オンプレミスとは、情報システムをユーザー企業自身が管理する設備内に導入・設置して運用する形態。

 今回の調査結果を受けて、ITRのシニア・アナリスト舘野真人は、「今回の調査では、セキュリティ・リスクに対する企業の関心が高まっていることが改めて示されました。特に、内部犯行・不正に対する危機感は大きく、経営者が重視していることがうかがえます。ただし、組織的な体制整備や情報の取扱い方法の見直しといった具体策については、前年調査からほとんど進展しておらず、どこから手をつけてよいか判断のつかない企業が増加していると見られます。
 また、新年度に向けて重要テーマのひとつになると見られるマイナンバー制度対応についても、IT/セキュリティ担当者の主体的な関与が不十分である様子が確認されました。問題が発生してから対処する後追い型のセキュリティ対策から脱するためにも、IT/セキュリティ担当者は現状を正しく分析し、計画的なセキュリティ対策のロードマップを描くことが求められます。IT業界としても、積極的な情報発信などによってユーザー企業の取り組みを支援することが求められるでしょう」と分析しています。

■本調査について
 本調査は、JIPDECとITRが2015年1月26日から30日にかけて実施したものです。調査は、ITRの独自パネルに対するWebアンケート形式で実施し、従業員数50名以上の国内企業に勤務しIT戦略策定または情報セキュリティ施策に関わる係長職相当職以上の役職者約2,000名に対して回答を呼びかけ、698名の有効回答を得ました(1社1名)。今回発表した動向だけでなく、情報セキュリティ対策の具体的な取り組み状況、製品/サービスの導入状況、個人情報保護法改正への対応など、広範にわたる調査を実施しています。
 調査結果の詳細は、JIPDECが2015年5月に発行予定の『JIPDEC IT-Report 2015 Spring』に掲載し、Web公開する予定です。