セキュリティ事故を起こした企業の55%が認知

独立行政法人情報処理推進機構(IPA)は6月30日、「企業におけるサイバーリスク管理の実態調査2015」を発表した。リスク管理体制、情報セキュリティ対策や事故経験の有無、サイバー保険の認知とニーズなどに関し、企業の経営者、リスク管理責任者、IT担当責任者あわせて1773人を対象に実施したもので、調査時期は2015年2月6日から2月16日。

調査結果によると、経営リスク分析をおこなっている企業は全体の34%。経営リスク管理を実施している企業は、実施していない企業より3.2倍~4.4倍高い結果となった。CISO(情報セキュリティ担当役員)を置いている企業は置いていない企業よりも運用面の対策では2.6倍、技術面の対策では2.3倍の差があった。

表1:組織的対策の有無とIT関連保険加入率

サイバー保険の認知度は全体の約28%。情報セキュリティに関する事故を起こしたことがある企業では55%、プライバシーマークを取得している企業では56%の認知度だった。

何らかの情報セキュリティ事故を経験している企業は全体の15%。企業別規模で比較すると、年間売上高10億円以上の大企業は、すべての被害項目について事故を経験している割合が高かった。

IPAによると、米国では、証券取引委員会(SEC)のコンプライアンス検査局(OCIE)が、サイバーリスク戦略の一環としてサイバー保険への加入を推奨しており、44%の企業がサイバー保険に加入。市場規模は20億ドルに達するとのデータもあるという。一方で、日本ではサイバー保険以外のIT関連保険を含めても、2013年度実績で約90億円。企業に浸透しているとは言えない状況だと報告している。

表2:情報セキュリティ事故時における損害保険の補償ニーズ

■「企業におけるサイバーリスク管理の実態調査2015」報告書について
http://www.ipa.go.jp/security/fy27/reports/cyber-ins/index.html