|
2005年11月17日
日本HP「個人情報保護法対策の進展調査」を実施
大企業に比べ、中小・中堅企業で対策への苦慮目立つ
- 「対策を実施していない」:大企業9.9%に対し、中小・中堅企業は50.6%
今後も「特別な対策は予定していない」中小・中堅企業は26.3% -
日本ヒューレット・パッカード株式会社(略称: 日本HP、本社: 東京都品川区、社長: 小田晋吾)は、この度企業の規模別「個人情報保護法対策の進展調査」を行いました。当調査は、個人情報保護法が企業に対して施行され半年間が過ぎ、企業の情報システム構築に関与する日本HPとして、個人情報保護法がどの程度社会から認識され、どの程度正確な運用が行われているかを知ること、また、それに係るITセキュリティ面の整備状況・今後の改善点をデータで把握することを目的に実施されました。結果として、大企業と中小・中堅企業の間で、個人情報保護法への対策(知識・制度整備・IT関連対策)のレベルに大差があることが分かりました。
個人情報保護法に対し、「対策を実施していない」大企業は9.9%、中小・中堅企業は50.6%。ITセキュリティに関して、「対策を実施している」大企業75.2%に対し、中小・中堅企業は41.7%と、現状の対応に大きな差が出ていることが見て取れます。また、「個人情報保護法対策の課題」として、ノウハウ不足と答えた中小・中堅企業は51.8%と、大企業の35.5%よりも多く、「最初の進め方がわからない」と答えた中小・中堅企業は14.6%と、大企業の2.5%を大幅に上回りました。個人情報保護法に関しての知識面での差があることからも、多くの中小・中堅企業は、はじめの取っ掛かりである「具体的な対応策をどのように取ったらよいか」が分からずに苦慮していると思われます。
<調査概要>
| |
|
対象: 下記の企業における個人情報保護法対策責任者
@従業員1000名以上の企業 A従業員100-500名未満の企業 B従業員30-100名未満の企業 |
|
調査手法: 電話スクリーニング後、郵送調査 |
|
調査エリア: 全国 |
|
郵送調査設定サンプル数: @352 A365 B350 合計 1,067 |
|
有効回収数: @121 A130 B117 合計 368 |
|
郵送調査実施期間: 2005年8月16日〜9月2日 |
|
調査主体: 日本HP |
| * |
本リリース内での「大企業」は@、「中小・中堅企業」とは、AとBを合わせたものを指します。大企業と中小・中堅企業との差異を明確にするため、従業員500-999名の企業を除外して調査しています。 |
| * |
当資料に記載されたデータの全部または一部を使用する場合は、「日本ヒューレット・パッカード調べ」もしくは「日本HP調べ」の一文を記載してください。 |
|
<調査結果抜粋>
| |
個人情報保護法対策では、中小・中堅企業は大企業に大きく遅れを取っている
| |
「個人情報保護対策への現状の取り組み」
| |
| ・ |
対策を実施している |
|
大企業:90.1% 中小・中堅企業:48.2% |
| ・ |
対策が遅れている、実施していない |
|
大企業: 9.1% 中小・中堅企業:24.3% |
| ・ |
特別な対策は予定していない。 |
|
大企業: 0% 中小・中堅企業:26.3% |
| * |
中小・中堅企業では、現在対策を取れていない企業が僅かながら半数を超えている。さらにそのうちの約半数は「今後も対策を取る予定がない」。 |
|
|
大企業、中小・中堅企業ともに、現在の自社の対策の満足度はそれほど高くない
| |
「自社の個人情報保護対策への評価」
| |
| ・ |
「十分」「ある程度十分」の合計 |
|
大企業:65.3% 中小・中堅企業:41.3% |
| * |
「十分」だけを見ると大企業5.8%、中小・中堅企業3.2%に過ぎない。完全に満足しているのはごく少数派。 |
|
|
知識の面でも、中小・中堅企業は苦慮している
| |
「個人情報保護法の認知内容で知っていたもの」
| |
| ・ |
法令に違反した場合、実刑が下る場合がある |
|
大企業:84.3% 中小・中堅企業:45.7% |
| ・ |
「個人情報」「個人データ」等の違いにより遵守項目が異なる |
|
大企業:78.5% 中小・中堅企業:29.6% |
| ・ |
個人情報漏えい防止のみを重視しているものではない |
|
大企業:57.9% 中小・中堅企業:22.3% |
| * |
中小・中堅企業担当者は、そもそも知識面での不足が目立つ。 |
|
|
さらに、上記回答の中小・中堅企業を細かく分類すると、以下のようなことが見て取れる。
| |
| a: |
個人情報保護対策を既に実施し、その対策が十分であると考えている中小・中堅企業 |
| b: |
個人情報保護対策を実施しているが、その対策ではまだ不十分であると考えている中小・中堅企業 |
| c: |
個人情報保護対策は実施していないが、それで十分であると考えている中小・中堅企業 |
| d: |
個人情報保護対策は実施していないが、それでは不十分であると考えている中小・中堅企業 |
| |
| ・ |
法令に違反した場合、実刑が下る場合がある |
|
a: 59.5% b: 52.3% c: 37.0% d: 36.6% |
| ・ |
「個人情報」「個人データ」等の違いにより遵守項目が異なる |
|
a: 39.2% b: 38.6% c: 11.1% d: 26.8% |
| ・ |
個人情報漏えい防止のみを重視しているものではない |
|
a: 24.3% b: 20.5% c: 18.5% d:25.6% |
| * |
「個人情報保護対策は実施していないが、それで十分であると考えている中小・中堅企業」が知識不足となっている。 |
|
|
大企業と中小・中堅企業では、個人情報保護法に対する「課題」は異なる
| |
「自社の個人情報保護対策上の課題」
| |
| ・ |
対策をすすめていく上でのノウハウ不足 |
|
大企業:35.5% 中小・中堅企業:51.8% |
| ・ |
人員の不足 |
|
大企業:43.8% 中小・中堅企業:30.8% |
| ・ |
最初の進め方が分からない |
|
大企業: 2.5% 中小・中堅企業:14.6% |
| * |
中小・中堅企業は個人情報保護法に対しての対応策を、どこから着手して良いか分からない状況にある。 |
|
|
ITセキュリティの面でも中小・中堅企業の対応は遅れている
| |
「社内ITセキュリティ対策」
| |
| ・ |
対策を実施している |
|
大企業:75.2% 中小・中堅企業:41.7% |
| ・ |
対策が遅れている、実施していない |
|
大企業:18.2% 中小・中堅企業:27.5% |
| ・ |
特別な対策は予定していない。 |
|
大企業: 2.5% 中小・中堅企業:30.0% |
| * |
中小・中堅企業では、現在対策を取れていない企業が半数を超えている。さらにそのうちの半数以上は「今後も対策を取る予定がない」。 |
|
|
補足 (数字は「導入している」及び「予定/計画中」の値)
| |
| ・ |
高セキュリティーエリアへの入退室管理 |
|
大企業:84.0% 中小・中堅企業:38.0% |
| ・ |
パソコンの施錠、盗難防止 |
|
大企業:59.3% 中小・中堅企業:32.8% |
| ・ |
パソコン内部パーツの盗難防止 |
|
大企業:46.9% 中小・中堅企業:25.7% |
| ・ |
パソコン、記録メディアの持込・持出管理 |
|
大企業:75.2% 中小・中堅企業:53.2% |
| ・ |
パソコンでの記録メディア利用制限 |
|
大企業:73.5% 中小・中堅企業:50.3% |
| ・ |
パスワード利用による個人認証強化(PC) |
|
大企業:93.8% 中小・中堅企業:74.9% |
| ・ |
生体認証による個人認証強化(PC) |
|
大企業:21.2% 中小・中堅企業: 7.6% |
| ・ |
PCに最新のウイルスソフトインストール |
|
大企業:94.7% 中小・中堅企業:81.3% |
| ・ |
PC上での個人情報データの利用・保存制限 |
|
大企業:74.3% 中小・中堅企業:53.2% |
| ・ |
PCのデータ暗号化 |
|
大企業:68.2% 中小・中堅企業:33.3% |
| ・ |
社員の電子メールの監視 |
|
大企業:65.5% 中小・中堅企業:31.6% |
| ・ |
社内からの外部サイトのアクセス制限 |
|
大企業:76.1% 中小・中堅企業:46.2% |
| ・ |
ネットワークへの不正アクセス対策 |
|
大企業:88.5% 中小・中堅企業:64.3% |
| ・ |
個人情報データをサーバで一括管理 |
|
大企業:58.4% 中小・中堅企業:49.8% |
| ・ |
特定データへのアクセス権の設定 |
|
大企業:92.9% 中小・中堅企業:63.8% |
| ・ |
特定データへのアクセスの管理・ログ保存 |
|
大企業:85.8% 中小・中堅企業:51.5% |
| * |
総じて中小・中堅企業の対策が遅れている。中でもPCにおけるパスワードによる個人認証強化や最新ウイルスソフトのインストールのような大部分の大企業で定着しているものが、中小・中堅企業では出遅れている。また、対策状況の差異の大きなものとして、入退室管理、PCのデータ暗号化、電子メールの監視、外部サイトへのアクセス制限、特定データへのアクセス権の設定、アクセス管理・ログ保存がある。 |
|
|
<日本HP チーフ・プライバシー・マネージャ 佐藤 慶浩の所見>
(内閣官房情報セキュリティセンター 内閣参事官補佐を併任)
| |
今回の調査で、個人情報保護法への対策を実施しているのが、大企業の90.1%に対して、中小・中堅企業は48.2%と少ないことがわかりました。そして、その原因が、進め方や具体的な対策がよくわからないといった初期の部分での問題であることもわかりました。法のガイドラインが業種別に分かれたものの、企業規模を区別せずに制定されたことにより、大企業を想定した努力目標が多く、それ以外の企業としては具体的にどこまでやればよいのかわからなくなっているようです。その結果、中小・中堅企業からは難解なものとして敬遠されたのか、個人情報と個人データなどの定義といった基本の理解すら進んでいない状況です。理解ができていないにもかかわらず、自社の対策が十分であるという回答をしている企業については、実際には十分な対策が実施されていない可能性があります。また、今後も個人情報保護法の対策をする予定がないという企業が、大企業の0%に対し、中小・中堅企業では26.3%と高い割合を占めていますが、これら26.3%の企業すべてが個人情報取扱事業者に該当しないとは考えにくく、やはり事業者の定義の理解ができておらずに、自社が法の対象ではないという誤解があるのではないかと思います。中小・中堅企業においては、まずは、基本的なことの理解を進めるとともに、雛形として参照できるような具体的な対策事例が提示される必要がありそうです。
個人情報の漏洩事故などが、マスコミでも大きく取り上げられているにもかかわらず、そのためのITセキュリティ対策は、半数以上の中小・中堅企業で未対応のままです。対策項目を細かく見てみると、大企業との差異が大きな項目のほとんどは、社員の故意による不正を想定したような項目が目立ちます。この種の対策項目については、監視やアクセス制限などに頼りすぎずに、別の方法で社内の状況の見渡しができるという前提であれば、これらの項目を控えることは中小・中堅企業にとって悪いことではないと思います。大企業では、全社を見渡すということは不可能でしょうから、これらの項目についてもある程度の対策を実施する必要があります。実際には、性善説を前提とした上で、性悪説についても追加的に想定するというのは、大企業においても同じことです。ただしこれらの項目の中で、PCのデータ暗号化に関しては、故意ばかりではなく過失によるPCの紛失や盗難などから、個人情報を守ることにも役立つため、今やすべての規模の企業において、ウイルス対策と同程度に対策を進めるべきであると思います。日本では、仮にデータを暗号化してもそれ以外にデータの流出防止対策を別途追加するのであれば、データの暗号化を省いてしまうことが多いようです。その結果、アクセス制限や監視、ディスクの完全消去などに注力するのをよく見かけますが、過失の流出や機器の盗難のことも考えれば暗号化をむしろ先に進めるべきでしょう。また、PCのパスワード保護などの基本を徹底することは、情報保護の意識を毎日の仕事の中で定着させる上でも重要です。そのようなITセキュリティ対策について、広く共通した具体例が提示されれば、業種・業態や企業規模にはあまり依存しないため、中小・中堅企業においても対策を向上させることができるものと考えます。
今回の調査から、中小・中堅企業における個人情報保護とITセキュリティ対策の遅れがわかりました。その原因のひとつとして、大企業を対象とした高額のコンサルティングサービスばかりが目立ったことにより、対策のノウハウを得ることの敷居が高くしてなってしまったことをあげられるかもしれません。実際の対策内容は、それほど複雑に考えるものではなく、「お客様情報の取扱い方法を改善するのに必要な対策は何か」を考えればよく、基本的で単純な事項がほとんどです。そのことを認識してもらうには、大企業での対策事例が雛形のように情報共有されれば、具体的な対策内容がイメージしやすくなることで、中小・中堅企業での対策の促進と向上に役立つものと思います。
|
■ 添付資料
≫「個人情報保護法対策の進展調査」詳細 ( PDF:808kb )
# # #
|
会社情報 > ニュースルーム
印刷用画面へ
