情報セキュリティ改善せずSCMに影響も、IPA調査

調査・データ情報処理推進機構（IPA、東京都文京区）は14日、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を公開した。

調査対象は中小企業の経営層で、回答数は4191件。アンケートにて情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調査した。

2023年度にサイバーインシデントの被害を受けたと回答した企業(975社）に、生じた被害について聞いたところ「データの破壊」と回答した企業が35.7％、「個人情報の漏えい」と回答した企業が35.1％だった。また、過去3期に発生したサイバーインシデントで生じた被害額の平均は73万円であり、100万円以上の被害額であった企業は9.4％（最大で1億円）、過去3期内で10回以上のサイバーインシデント被害に遭った企業が1.7％（最大で40回）だった。さらに、復旧までに要した期間の平均は5.8日、50日以上を要した企業が2.1％（最大で360日）だった。

情報セキュリティ対策をどのような体制で行っているか聞いたところ「専門部署がある」企業は9.3％と過去の調査よりわずかに増えた一方、「兼務担当者が任命されている」企業は減少し、「組織的対策を行っていない(各自の対応)」企業が増加した。さらに「情報セキュリティ対策投資をしていない」企業の割合は62.6％で、2016年度調査の55.2％、2021年度調査の33.1％からさらに増加した。

被害を受けたと回答した企業のうち7割が「サイバーインシデントにより取引先に影響があった」と回答した。影響の内容としては「取引先にサービスの停止や遅延による影響が出た」が36.1％、「個人顧客への賠償や法人取引先への補償負担の影響が出た」が32.4％、「原因調査・復旧に関わる人件費などの経費負担があった」が23.2％だった。

取引先（発注元企業）から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、取引先（発注元企業）から要請された情報セキュリティ対策を行ったことが取引先との取引につながった大きな要因だと回答した企業は42.1％だった。

同社によると「2021年度調査」と比べて情報セキュリティ対策の実施状況の改善はわずかであり、更なる対策の必要性の訴求や対策の実践に向けた支援の必要とされている。また、サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼしていることが明らかになった。調査の詳細な報告書は4月頃に公開される予定。

■「より詳しい情報を知りたい」あるいは「続報を知りたい」場合、下の「もっと知りたい」ボタンを押してください。編集部にてボタンが押された数のみをカウントし、件数の多いものについてはさらに深掘り取材を実施したうえで、詳細記事の掲載を積極的に検討します。

LOGISTICS TODAY編集部
メール：support@logi-today.com