ニュースレター

皆さん、こんにちは。

デジタルビズ、行政書士北島コウ事務所は、本日開業2周年を迎えました。

日頃よりお世話になっている皆様に、心より感謝申し上げます。

まだまだ手探りの状態ですが、くじけず一歩一歩進めていきたいと思いますので、より一層のご指導、ご鞭撻のほどを宜しくお願い申し上げます。

さて、独立行政法人情報処理推進機構（IPA）は、2024年度の「中小企業における情報セキュリティ対策に関する実態調査」結果を公表しました

◇「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について（2025/5/27）

この調査は、全国の中小企業4,191社を対象としたウェブアンケート、およびより詳細な実態把握のためのインタビュー等を実施したもので、中小企業における情報セキュリティ対策状況や被害の実態、また対策推進上の課題、取引先の対策状況などについて多角的に分析されています。

今回は、この調査報告書から特に注目すべきポイントを取り上げて考察してみたいと思います。

OSやウイルス対策ソフトの更新実施率7割は「十分」か？

このニュースレターでは、たびたび中小企業のセキュリティ対策について取り上げてきました。

◇中小企業様におけるサイバーセキュリティ対策三箇条（2023/5/15）

◇頻発するサイバー攻撃から身を守るには（2025/2/10）

今回のIPAの調査結果を見ると、依然として中小企業における情報セキュリティの課題が根強く残っていることが明らかとなっています。

調査報告でまず注目すべき点としては、OSやウイルス対策ソフトの最新化を実施している企業が「約7割」という点です。

一見、7割という数字は「まずまず」という見方もあるかもしれませんが、ここではあえて「3割の企業では、いまだに実施されていない」と言いたいと思います。

サイバー攻撃は「蟻の一穴」から侵入し、そこから取引先や関係会社を含む全体に被害が波及するリスクをはらんでいることを考えれば、7割という数字は決して満足できるものではありません。

また、1割強の企業が取引先から情報セキュリティ対策の要請を受けており、セキュリティ体制を整備している企業の約6割が、それが取引につながったとしている点も重要です。

私自身、過去に大手通信キャリアに勤務していた際にも、委託先企業に対して情報セキュリティ対策を求めていました。

特に業務委託先と顧客情報等を共有する場合には、当然ながら管理ルールの策定と徹底を求め、定期的な監査も実施することが会社のルールとなっていました。

この場合には、OSのアップデートやセキュリティ対策ソフトの使用だけでなく、事務所の入退室に始まり、使用する機器やID、パスワード、認証方式等の管理、リモートアクセスやクラウドサービスの利用方法など、細かいチェックリストに基づいて確認を行っていました。

ひとたび顧客情報や個人情報の漏えい等が発生すれば、会社に大きなダメージをもたらすので、当然のことと言えます。

中小企業様の取引に当たっても、そういったことが求められることを前提として、しっかりとした自社内の管理体制を構築していかないと、今後の取引拡大は望めないものと思われます。

「中小企業における情報セキュリティ対策に関する実態調査」から見える、信頼の要件

第三者認証制度にも言及しています。

第三者認証とは、ISO27001に基づくISMS認証や、プライバシーマーク（Pマーク）の取得などにより、会社が高いセキュリティ管理体制を備えていることについて、第三者のお墨付きを得ることです。

これらの第三者認証を取得している企業では、約7割が取引獲得につながったとしています。

ただ、私の考えでは、これは中小企業にとってはかなりハードルが高いと思います。

例えばISMSの場合、社内のあらゆる情報資産に関して管理ルールや管理体制を整備し、常にそれを最新化することにより、審査機関による審査にパスする必要がありますし、費用もかかります。

取引先企業から認証取得を義務付けられているケースは別として、中小企業が自らの意思で認証取得するのは、かなりの決心が必要でしょう。

実際のところ、この報告書のアンケートによると、従業員100名以下の中小企業の場合、ISMSの取得率は5.6％、Pマークは9.3％に留まるという結果です。

私の見解としては、まずはこうした難易度の高い制度に挑む前に、もっと基本的な社内ルールの整備と実行を徹底することが先決だと考えます。

その上で、ビジネス拡大に応じて、段階的に体制をレベルアップしていくのが良いのではないでしょうか。

SECURITY ACTIONで「まず一歩」から始めよう

IPAでは、中小企業における自主的な情報セキュリティ対策の第一歩として、「SECURITY ACTION」という自己宣言制度の仕組みを設けています。

◇SECURITY ACTIONセキュリティ対策自己宣言（IPA）

★一つ星、★★二つ星というシンプルな区分で、自社の対策状況をチェックし、自己宣言によって対外的に発信することもできるというものです。

デジタルビズも、「★一つ星」を宣言しています。

補助金制度の中には、このSECURITY ACTIONで自己宣言していることを申請要件の一つにしているものもあります（IT導入補助金など）。

費用もかかりませんし、まずSECURITY ACTION自己宣言★一つ星から始めてみることは、無理なく始められる第一歩ではないでしょうか。

デジタルビズは、上で述べたような大手通信キャリアでの経験を活かし、取引先から求められるセキュリティ対策の具体的なポイントや、社内ルールの整備、体制構築等をご支援することが可能です。

ぜひお気軽にご相談いただければと思います。

それでは今回はこの辺で。

宜しくお願い致します。

ニュースレターの最新号をメールでお知らせしますので、こちらのデジタルビズ・トップページより、ぜひ配信登録をお願い致します。