ITリスク・マネジメントに対する意識は高いが,対策の基本となるセキュリティ・ポリシーの段階でつまずいている――社団法人日本情報システム・ユーザー協会(JUAS)が3月22日に公表した「企業IT動向調査 2005」の結果から,このような実態が明らかになった。
4月から個人情報保護法が完全施行されることもあり,企業のITリスク・マネジメントに対する意識は高い。JUASの調査結果では,ITリスク・マネジメントの担当部門を設置している企業は全体の83.1%。前回の調査(企業IT動向調査 2004)が35.6%だったことを考えると,飛躍的に上昇したと言える。
しかし,肝心の対策は難航しているようだ。セキュリティ・ポリシーの策定状況を聞いた結果をみると,策定済みの企業は全体の34.6%しかない。策定中が22.2%,検討中が31.8%である。特に深刻なのは小中規模の企業。回答企業の従業員数によって集計した結果をみると,1000人以上の企業は56.7%が策定済みであるのに対し,100~1000人未満の企業になると25.5%,100人未満の企業にいたっては15.7%と一気に減る。
個々の具体的なセキュリティ対策状況を聞いた結果では,「ファイアウォールなどネットワーク上の情報アクセスの制限」や「ウイルス対策」は,95%前後の企業が対策済み。その一方で,「事業継続への対策」や「パソコンの持ち出しなど利用者の情報管理への対策」に関しては「あまり対策が進んでおらずかなり不安」と訴える企業が全体の50%以上を占めた。
なお,同調査は,JUASがユーザー企業のIT動向を把握するために毎年実施しているもの。2004年10月29日に4033社のIT部門長あてにアンケート調査表を発送し,11月26日までに回答を得た977社を対象に集計してある(別途,利用部門を対象としたアンケート調査なども実施しているが,ここでは省略した)。
