中小企業ほど対策に遅れ

また本報告書では、サイバーセキュリティ対策に対する経営層の関与状況についても問題意識を持たれている。図1は組織の取締役、理事、上級管理職が、サイバーセキュリティに関連して実施された事項について、どのくらいの頻度で報告されているかを尋ねた結果である。企業(図の上側)と慈善団体(下側)を比べると、全体的に慈善団体の方が報告頻度が低いことが分かる。企業では四半期に1度・毎月・毎週・毎日の合計が56%であるのに対して慈善団体では42%にとどまっている。しかしながら慈善団体において、四半期ごとに報告している組織が7%、毎月報告している組織が5%それぞれ増加していることから、今後も徐々に頻度が高まっていく可能性がある。

写真を拡大 図1. 経営層などに対するサイバーセキュリティ関連事項の報告頻度(出典:英国デジタル・文化・メディア・スポーツ省 / Cyber Security Breaches Survey 2019)

図2は情報セキュリティもしくはガバナンスを担当するスタッフを置いている組織の割合を、組織の種類別に示したものである。企業全体としては42%であるが、大企業に絞ると78%もの組織が情報セキュリティもしくはガバナンスの担当者を置いている。小規模事業者(small firms)では50%、零細事業者(micro firms)では37%にとどまっているが、それぞれ昨年の調査結果と比べると増加していることが示されている。

情報通信、金融、保険といった業種で割合が高くなっている事には驚きはないが、医療・ソーシャルワークなどで74%と高くなっており、しかも昨年より31% 増えているというのは注目に値するであろう。また慈善団体全体では49%となっており、昨年より11%増えている。なお「高収入の慈善団体」に限定するとこの数字は82%に上るとの事であるから、財政的に厳しい慈善団体ではこのような担当者を置くのが難しいのが現状だと考えられる。

写真を拡大 図2. 情報セキュリティ担当者を置いている組織の割合(出典:英国デジタル・文化・メディア・スポーツ省 / Cyber Security Breaches Survey 2019)

本報告書では、これらの増加の背景にはGDPR(General Data Protection Regulation:EU一般データ保護規則)の施行と関連があると考えられている。他の設問に関する結果からも、サイバーセキュリティに対する組織の取り組み方に対してGDPRが一定の役割を果たしたであろうと本報告書では評価されている。

しかしながら一方で、一部の組織はサイバーセキュリティをデータ保護の観点からしか捉えていないことが、定性調査の結果から分かったという。このような状況を踏まえて、本報告書ではサイバーセキュリティへの取り組みに関して、より包括的なアプローチが必要であるという事も指摘されている。

■ 報告書本文の入手先(PDF66ページ/約1.9MB)
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/791940/Cyber_Security_Breaches_Survey_2019_-_Main_Report.PDF

(了)