個人情報保護法および情報セキュリティー対策に関するアンケート調査

4月に全面施行となる個人情報保護法の重要性を認識はしているが、対応は必ずしも十分ではない。こうした中堅・中小企業などの実態が、日刊工業新聞社とＮＴＴレゾナントが共同で行った意識調査から明らかになった。

この調査は、同法への対応を含む情報セキュリティー対策が遅れているとされる中堅・中小企業などの現状と課題を探り、今後の方向性示す狙いで実施したもの。中堅・中小企業や教育機関、地方自治体に属し、経費の支出あるいはＩＴ導入に関する権限を持つ管理職層以上が対象（1,200人）で、851人から回答を得た。

調査結果について

■施行の影響60％強■

まず同法に関する認識・影響の度合いを聞いたところ、約80％（有効回答数673人）が内容を含めてある程度把握しているとし、約63％（同535人）が経営への影響があると回答した。

中堅・中小企業においても、同法への関心が高く重要視していることがうかがえる。

特に興味深い結果が出たのが、業種別に見た経営への影響度合いの実態。外注比率が高かったり、個人情報を直接・間接的に扱ったりする建設・不動産業（同75人）や流通業（同80人）、製造業（同293人）で、30〜47％が「特に影響はない」と回答した。

それぞれのサンプル数が異なるため、一概にはいえないが、同法に対する認識が必ずしも十分でなく、把握しきれていないことが推測される。実際に同法の解釈は業種や業態によって違う。総務省や経済産業省、金融庁がガイドラインを個別に出していることもあり、これらが絡み合って混乱を招く要因になっていると指摘する関係者もいる。

■対応不足が顕在化■

また経営に何らかの影響を及ぼすとした回答者（同535人）に対し、現状の対策レベルを5段階で評価してもらった。「通常レベル」としたのが最も多く約36％（有効回答数192人）。「問題ない（レベル5）」および「足りている（同4）」としたのは約21％（有効回答数111人）にとどまった。

半面、「不足している（同2）」および「かなり不足している（同1）」と回答したのは約43％（有効回答数229人）に上った。

さらにこれを従業員でみると、500人未満の企業で50％近くに達するのに対し、500人以上の企業では30％強程度に抑えられている。具体的な対策については、より規模の小さい企業ほどまだ途上にあるという実態が、改めて浮き彫りになったといえよう。

■従業員の教育がカギ■

こうした実態を踏まえ、同法対策で必要となる取り組みは何か（対象535人、複数回答）を聞いた。

最も多かったのは「従業員への教育」で91.2％。最近、相次いでいる個人情報の漏洩が"人"に起因するケースがほとんどなだけに、明確な方針に基づく教育を講じる必要に迫られていることがわかる。

「情報システムや管理体制の強化」（84.3％）と「プライバシー・ポリシーの制定」（57.0％）も上位にランクされており、「従業員への教育」と合わせ、同法対策のいわば3点セットになっているといえる。

ただ上位ランクの傾向は変わらないものの、業種によって「プライバシーマークの取得」や「業務委託契約の見直し」などの優先度に違いが見られた。

■ノウハウ不足浮き彫りに■

同法への対応を含む情報セキュリティー対策で、大きな問題になっている内部からの情報漏洩に対する取り組み（対象851人、複数回答）についても聞いた。

「サーバールームなどへの立ち入り制限」（44.8％）、「ノートパソコンの持ち出し制限」（41.5％）、「メールの監視」（38.9％）が多く、最近になって対策の必要性がいわれ始めた「ＦＤなどの記憶媒体の持ち出し制限」は27％と意外に少なかった。

一方で「特に対策を講じていない」とした回答者（186人）に対し、その理由について聞いた（複数回答）ところ、「実施する知識・ノウハウがない」（48.9％）、「手間がかかる」（36.6％）、「予算がない」（35.0％）といった選択が上位を占めた。

中堅・中小企業などにとって、やはり人材・資金的な余裕のないというのが現実。情報セキュリティー対策は、今後、経営を左右する問題になる可能性があるだけに、行政を含め新たな支援策を講じる必要があるといえよう。