小規模企業の過半数は私物端末の業務利用を許可、規模の小さい企業ほどセキュリティ対策に不備～IPA調査

独立行政法人情報処理推進機構（IPA）技術本部セキュリティセンターは8日、中小企業のセキュリティ対策状況に関する実態調査の結果を公表した。調査結果では、規模が小さい企業ほど、セキュリティ対策に不備があることが浮き彫りとなったとしている。

　調査は、全国の中小企業で働く20歳以上を対象としたウェブアンケートによるもので、有効回答数は3952人（経営層838人、IT・セキュリティ担当者1157人、一般社員1957人）。調査期間は、事前調査が2015年11月4日～6日、本調査が2015年11月7日～10日。

　企業規模の定義は、「小規模企業」は従業員数が20人以下（建設業、製造業、運輸・輸送業、金融・保険業、不動産業）または5人以下（卸・小売業、情報通信業、サービス業・その他）の企業。「中小企業」は従業員数が300人以下で小規模企業より多い企業。

　経営者とIT・セキュリティ担当者に対して、社員の私物のスマートフォンやタブレット端末の業務利用を認めているかという質問では、小規模企業の過半数（50.3％）が「認めている」と回答した。この割合は、中小企業のうち100人以下の企業では38.9％、101人以上の企業では26.9％で、規模の小さい企業ほど私物端末の業務利用を認める傾向となった。

小規模企業の過半数（50.3％）が社員の私物のスマートフォンやタブレット端末の業務利用を認めている

　一方、業務で利用されているスマートフォンやタブレットについて、パスワード設定を実施していると回答した割合は、小規模企業は56.7％、100人以下の中小企業は67.9％、101人以上の中小企業は72.5％で、規模の小さい企業ほどパスワード設定がなされていない。

　「組織的に情報セキュリティ担当者がいる」と回答した小規模企業の割合は19.6％で、全体平均（44.6％）の半数にも満たない。また、小規模企業の72.2％は社内・社外の「情報セキュリティの相談窓口が特にない」と回答しており、80.9％は「情報セキュリティ教育を実施していない」と回答している。

　IPAでは、情報漏えいの脅威が増す中、多くの小規模企業は情報セキュリティ担当者が不在で社内外の相談窓口もないと指摘。社員のスマートフォンやタブレット端末利用を認めている一方で、端末にパスワードの設定がなされていないなど、情報セキュリティ対策が不十分であると思われるとして、社内だけなく社外の取引先の機密情報を守るため、小規模企業を中心とした中小企業向けの情報セキュリティ教育を促す必要性があると考えられるとしている。