トレンドマイクロの調査によれば、国内の法人の4割強が2017年にセキュリティー事故による重大被害を経験したと分かった。経営層によるサイバーリスクの認識が進んでいない実態も明らかになった。
2018年9月に「法人組織におけるセキュリティ実態調査2018年版」を実施した。法人組織における情報セキュリティー対策の意思決定者や意思決定関与者1455人から回答を得た。民間企業の回答者が1132人で官公庁や自治体の回答者が323人だった。
セキュリティー事故に起因する情報漏洩やサービス停止といった重大被害が2017年に発生したとする回答者の割合は42.3%だった。前年の41.9%から0.4ポイント増え、過去最高となった。原因究明を目的とした調査費用や損害賠償などの事後対応費用を含む年間被害額は平均2億1153万円だった。3年連続で2億円を超えた。
重大被害の発生率を内容別にみると、3位までを情報漏洩が占めた。「従業員・職員に関する個人情報」が16.2%、「顧客に関する個人情報」が11.2%、「業務提携先情報」が8.7%だった。「システム・サービス停止」や「ランサムウエアによるデータ暗号化」の被害を受けた法人もそれぞれ7%強あった。
経営層がサイバーセキュリティーに関する問題を事業継続や組織運営のリスクとして認識しているかも調べた。結果は前年とほとんど変わらず、「十分認識している」は31.4%にとどまった。経営層のリスク認識が変わらない点が組織全体のセキュリティーレベル向上を妨げている可能性があるとトレンドマイクロは分析する。