【データ】中小企業のサイバーセキュリティに関するアンケート調査情報処理推進機構調べ

　情報処理推進機構は8日、中小企業のサイバーセキュリティに関するアンケート調査の結果を発表した。

IPA（独立行政法人情報処理推進機構）セキュリティセンターでは、中小企業向けサイバーセキュリティ対策支援サービス「サイバーセキュリティお助け隊サービス」の紹介とあわせて、サイバーセキュリティ意識の向上を目的とした啓発コンテンツを含むウェブサイトを公開中ですが、それに伴い、全国の中小企業に勤務する従業員1,000名に対してサイバーセキュリティに関するアンケートを実施しました。

その結果、過去3年間でサイバーセキュリティ上の事故やトラブルを勤務先で経験した中小企業従業員は10.5%。

勤務先で情報管理関連のルールが制定されている人のうち5人に1人はルール違反の経験があり、うち4割以上は会社や上司に1度も報告していないことが判明しました。また、企業として事故やトラブルを社外に報告した事例も半数以下の41.0%であるなど、報告・公表される事例は氷山の一角であってこれを相当数上回る“かくれサイバートラブル”の存在がうかがえる結果となり、トラブルを防ぐ仕組みやさらなる意識啓発の必要性が課題として浮かび上がりました。

【アンケート概要】アンケート対象：全国の中小企業に勤務する人1,000名

アンケート方法：インターネット調査　アンケート期間：2021年11月5日(金)～11月7日(日)

※アンケート結果の数値は小数点以下を適宜四捨五入して表示しているため、積み上げ計算すると誤差がでる場合があります。

サマリー

■PART1 中小企業従業員のサイバーセキュリティトラブル

・中小企業従業員の10.5%が過去3年間でサイバーセキュリティ上の事故やトラブルを勤務先で経験、トラブル上位はウイルス関連

■PART2 中小企業の情報管理ルール

・IT機器の利用やデータの取り扱いについて勤務先でルールが制定されていると答えた中小企業従業員は半数以下の42.7%

・うち5人に1人はそのルールに違反したことがあり、違反したルールの上位はパスワード関連

・ルール違反をした人のうち、その違反を会社や上司に1度も報告していない人は43.2%

■PART3 従業員個人のサイバーセキュリティトラブル

・従業員個人として勤務先で経験したサイバーセキュリティ上の事故やトラブル、1位は「ウイルス・ランサムウェア感染」、 2位は「メールの宛先間違い」

・一方、その事故やトラブルの半数以上は会社や上司に報告しておらず、 “かくれサイバートラブル”は報告されているものの相当数多く存在している！？

■PART4 業種別／職種別のサイバーセキュリティトラブル発生率

・サイバーセキュリティトラブル発生率の高い業種は「情報通信／広告業」「対個人サービス業」「製造業」

・サイバーセキュリティトラブル発生率の高い職種は「管理」などPCやインターネットを頻繁に使う職種が上位

■PART5 「サイバーセキュリティお助け隊サービス」ウェブサイト公開中

・“かくれサイバートラブル”を防ぐ仕組みや啓発の一助になる、中小企業向けサイバーセキュリティ対策支援サービス「サイバーセキュリティお助け隊サービス」ウェブサイトを公開中

PART1 中小企業従業員のサイバーセキュリティトラブル

・中小企業従業員の10.5%が過去3年間でサイバーセキュリティ上の事故やトラブルを経験

過去3年間（2018年10月～2021年9月）の間、サイバーセキュリティ上の事故やトラブルを経験した中小企業従業員は10.5%で、トラブル1位は「ウイルス・ランサムウェアによる被害」、2位は「取引先を装った偽メールによるウイルス感染」と、ウイルス関連が上位となっています。

・年間のサイバーセキュリティトラブル発生件数は平均1.4回

サイバーセキュリティ上の事故やトラブルが発生した回数は、2018年が平均2.8回、2019年が平均1.0回、2020年が平均0.6回、2021年(1月〜10月)が平均1.4回、トータルの年平均は1.4回という結果になりました。

・これらの事故やトラブルを社外へ公表・公開した事例は半数以下の41.0%

一方で、上記のサイバーセキュリティ上の事故やトラブルに関して、勤務先が社外への公表・公開等（プレスリリースや、HP等への掲載等で）を行ったと答えた中小企業従業員は「複数回ある」18.1%、「1回ある」22.9%で計41.0%でした。

PART2 中小企業の情報管理ルール

・IT機器の利用やデータの取り扱いについてルールが制定されていると答えた中小企業従業員は半数以下の42.7%

勤務先の中小企業のIT機器やデータの取り扱いに関連する情報管理のルールについて聞いたところ、ルールが制定されていると回答したのは全体の42.7%で、6割近くはルールが制定されていない、またはルールの有無を認識していないという結果になりました。

・5人に1人はそのルールに違反したことがあり、その多くは複数回にわたる違反

勤務先の中小企業に情報管理関連のルールがあると回答した人のうち、過去3年間（2018年10月～2021年9月）でそのルールに違反を犯したことがある人は19.0%で、そのうち多くの人が複数回にわたってルール違反をしていました。

・違反したルールの上位はパスワード関連

情報管理関連のルールに違反した内容は、1位「複数のIT機器・端末やインターネットサービスで同じパスワードを使い回す」24.7%、2位「パスワード等の適切なセキュリティ対策を講じずに個人情報をメール含むインターネットで送受信する」23.5%と、パスワード関連のルール違反が上位となっています。

・ルール違反をした人のうち、その違反を会社や上司に1度も報告していない人は43.2%

勤務先の中小企業に情報管理関連のルールがあると回答した人で、過去3年間（2018年10月～2021年9月）でそのルールに違反を犯したことがある人に対して、その違反を会社や上司に報告したか尋ねたところ、1度も報告を行わなかった人は43.2%にのぼりました。

・ルール違反の理由、ルールは理解しているものの危機意識や知識・理解が不足

ルール違反を犯した理由については、1位は「ルールは理解していたが、それを守る意識が希薄だった」48.1%、2位「ルールは理解していたが、正しい手順や対応方法等の知識や理解が不足していた」33.3%と、ルールは理解しているものの危機意識や知識・理解不足が原因であることがわかりました。

PART3 従業員個人のサイバーセキュリティトラブル

・従業員個人として経験したサイバーセキュリティ上の事故やトラブル、1位は「ウイルス・ランサムウェア感染」4.2%。一方、その事故やトラブルの半数以上は会社や上司に報告していない。

勤務先での業務に関わるIT機器やデータの取り扱いにおいて、過去3年間（2018年10月～2021年9月）に従業員個人として経験したサイバーセキュリティ上の事故やトラブル、1位は「自分の利用している端末がウイルス・ランサムウェア等に感染した」4.2%、同率2位で「機密を含む情報をメールの宛先間違い等で対象外の人に発信してしまった」3.3%、「フィッシングメール等のURLをクリックし、個人情報等を入力してしまった」3.3%、「業務上利用するIT機器／端末の盗難・紛失にあった」3.3%でした。

しかし、各項目で「事故やトラブルが発生した」と回答した人のうち半数前後は「発生したが、会社・上司に報告しなった」という結果になっており、明らかになっていない“かくれサイバートラブル”が存在していて、実際の被害は報告されているものより相当数多い可能性があります。