国内組織の約4割が個人情報漏えいなどセキュリティの重大被害を経験、年間被害額も過去最高の平均2億3177万円に～トレンドマイクロ調査

　トレンドマイクロ株式会社は13日、官公庁自治体および民間企業における情報セキュリティ対策の意思決定者および意思決定関与者1361人を対象とした、「法人組織におけるセキュリティ実態調査 2017年版」を発表した。調査の実施時期は6月27日～6月30日。

　2016年の1年間に経験したセキュリティインシデントについての調査では、全体の約41.9％が、個人情報や内部情報の漏えい、ランサムウェアによるデータ暗号化、金銭詐欺などのセキュリティインシデントによる重大被害を経験していた。年間被害額は平均2億3177万円で、前年の平均2億1050万円を超え、過去最高となった。

セキュリティインシデントによる重大被害　経験割合（n=1361）

　年間被害額が1億円を超える法人組織は、重大被害を経験した組織の29.4％で、前年比で4.1ポイント増加（前年25.3％）。原因究明・事実確認にかかる調査費用、対策の実施、損害賠償といった、さまざまな事後対応費用を被害組織が支払っているとしている。

重大被害を経験した組織での年間被害額（n=2017年：570、2016年：530）

　セキュリティインシデントによる重大被害の上位は、1位が「従業員・職員に関する個人情報の漏えい」の14.2％、2位が「顧客に関する個人情報の漏えい」の10.0％、3位が「業務提携先情報の漏えい」が8.1％で、何らかの情報漏えい・流出被害を経験している法人組織が31.1％に上った。トレンドマイクロでは、個人情報保護法や割賦販売法の改正、2018年5月に施行を控えたEU一般データ保護規則（GDPR）の成立といった、個人情報の取り扱いに関する動きが国内外である中で、深刻な数値だとしている。

　また、近年猛威を振るっているランサムウェアにより、7.6％がデータ暗号化の被害に遭い、取引先や経営幹部・上層部を偽ったビジネスメール詐欺による金銭詐欺被害には7.4％が遭っていた。

　WannaCryに代表される2016年以降のランサムウェア騒動を受け、法人組織の22.5％がセキュリティ予算をすでに増加し、21.6％が予算増加に向けて調整段階にあると回答している。何らかの重大被害を経験した組織ほど予算の増加意向は高い（増加：40.5％、調整中：24.6％）傾向にある一方、重大被害／インシデント未経験の組織でも、2割以上が予算の増加傾向（増加：7.4％、調整中：17.5％）にある。

2016年以降のランサムウェア騒動に起因したセキュリティ予算増加状況（n=1361）

　一方で、経営層・上層部のセキュリティへの理解・関与は進んでいないと指摘。セキュリティ上の脅威を、事業継続・組織運営を脅かすリスクとして認識している経営層・上層部は全体の32.1％で、前年の31.1％と比較してほとんど変化がなかった。経営層・上層部が自組織のセキュリティ対策に積極的に関与している割合も、全体の26.5％にとどまっている。

　セキュリティ対策に関する意思決定者・関与者のリスク認識レベルも決して高くなく、サイバー攻撃の脅威が法人組織にとって一層深刻になる一方で、法人組織の多くでサイバーリスクに対する認識が高まっていないと指摘。経営層・上層部のサイバーセキュリティに対する理解度、関与度は、セキュリティ対策レベルにも相関があるとして、経営層・上層部の理解度、関与度を高めることが、セキュリティ対策レベルの向上に重要だとしている。

　また、昨今制定、改正された法規制ガイドラインを、自組織のセキュリティ対策に十分反映させている法人組織の割合も、依然として少ない状況だと指摘。改正個人情報保護法（2015年9月成立）については、34.5％が十分反映していると回答しているが、改正割賦販売法（2016年12月成立）では13.0％、EU一般データ保護規則（GDPR、2016年4月成立）では15.0％にとどまっている。

法規制ガイドライン理解度・対策反映度（n=1361）

　トレンドマイクロでは、ビジネスにおける個人情報の利活用が進む一方で、個人情報を狙うサイバー攻撃は世界的にもとどまるところを知らないと指摘。こうした背景から、セキュリティ対策の義務化に加えて、過失には厳格な罰則規定のある法規制も出てきており、法規制への理解度と対応を高め、その上で各種ガイドライン対策強化の土台とすることが急務だとしている。