« 個人情報保護委員会 株式会社メタップスペイメントに対する個人情報の保護に関する法律に基づく行政上の対応について | Main | 個人情報保護委員会 「個人情報保護法の基本」 »

2022.07.15

個人情報保護委員会 中小規模事業者の安全管理措置に関する実態調査 分析結果 (2022.06.27)

こんにちは、丸山満彦です。

個人情報保護委員会が、[PDF] 「中小規模事業者の安全管理措置に関する実態調査 分析結果を発表していましたね。。。

 

実施時期は、改正法施行前で、令和4年2月4日から3月7日までに 5,232 件を回収(回収率 17%)。

回答企業の前年度売上金額の内訳「1億円以下」58% 「1億円超5億円以下」26% 「5億円超」10%(無回答6%)ということなんですが、安全管理措置に要したコストは、年間で「10万円以下」とする事業者が6割、「10万円超~100万円以下」が2割超であり、「100 万円超~」は僅少(3%)ということです。。。

この調査、毎年実施して、継続的な変化を見たほうが良いかもですね。。。個人情報保護法が施行され15年以上たち、サイバーセキュリティの脅威がテレビでも普通に流されるようになって、これですからね。。。(私も小さな喫茶店を持っているので、中小企業の懐事情もわかるし、生き残れるかどうかの瀬戸際で頑張っている企業も多いのはわかっているのですが、、、)

そして、個人情報保護委員会のウェブページを見たことがない企業が約9割!!!(良い資料を公開しているのだが...)

 

個人情報保護委員会

・2022.06.27 中小規模事業者の安全管理措置に関する実態調査結果等を掲載しました。

・[PDF] 中小規模事業者の安全管理措置に関する実態調査 分析結果

20220715-60454

1.個人情報の保有状況

・中小規模事業者(従業員 100 人以下)を対象としているが、顧客情報1万人超の事業者も一部(4%)存在する。

・保有する個人情報の内容をみると、基本4情報(氏名、生年月日、性別、住所)は6~9割、電話番号は9割と、高い比率で保有されている。メールアドレス、銀行口座情報は4割、マイナンバー、健康状態(健康診断情報を含む)は3割の比率で保有されている。



2.個人情報保護に関する取組み

・個人情報の取扱いに関する課題について、中小規模事業者の4割が、そもそも「何をしてよいかわからない」としており、また、「個人情報保護法の理解不足」を課題とする事業者も4割にのぼった。一部(2割)の事業者が「電子化による管理の難易度の上昇」を課題として挙げているが、こうした環境変化にもかかわらず、限られた経営リソースの下で、十分な体制整備ができていない状況がうかがわれる。

・個人情報保護に関する担当者を設置していない事業者が、過半を占めている。

・個人情報の管理にあたり参考にしているものとして、「法令・ガイドライン」(6割)のほか、「弁護士、税理士、コンサルティング業者に相談」が3割、「商工会議所、認定団体等の民間事業者主催説明会」と「親会社・グループ企業からの通達等」がそれぞれ1割。

・「弁護士、税理士、コンサルティング業者に相談」と回答した事業者の具体的な相談先として、税理士が最も多く(8割)、次いで社会保険労務士の比率も高く(4割)、何れも弁護士の比率(2割)を上回っている。因みに、以前に実施した大企業に対する調査結果(個人データの取扱いに関する責任者等についての実態調査 報告書(令和3年3月実施))では、外部有識者との連携先として、弁護士を挙げる先が最も多く(2割超)、税理士、社会保険労務士とも僅少(2%、7%)にとどまっている。中小規模事業者にとって税務や社会保険などで密接な関係性を有する税理士および社会保険労務士に対して、専門分野に限らず、個人情報の管理等についても相談が寄せられていることがうかがわれる。

・なお、個人情報保護委員会では、令和3年度において、税理士及び社会保険労務士に対し、日本税理士会連合会及び全国社会保険労務士会連合会を通じて、クライアントである事業者への漏えい等報告制度の周知依頼を行っており、今後も、こうした連携を図っていくことが有効と考えられる。

・安全管理措置に要したコストは、年間で「10万円以下」とする事業者が6割、「10万円超~100万円以下」が2割超であり、「100 万円超~」は僅少(3%)にとどまっている。経営リソースに限りのある中小規模事業者においては、個人情報保護委員会からも有益な情報提供を行うことなどにより個人情報の保護への取組みを支援していくことが必要と考えられる。


出典:中小規模事業者の安全管理措置に関する実態調査 分析結果 P3

 

3.改正法と漏えい等への対応


・ 改正個人情報保護法について、予定を含めて対応すると回答した中小規模事業者は3割に満たず、「改正したことや改正内容を知らない」事業者が4割、「改正内容は把握しているが何をしてよいかわからない」事業者が1割であり、多くの事業者が改正法に対応できていないことがうかがわれる。

・ 改正法により漏えい等報告が義務化されたことについて、「知らなかった」とする事業者が多くを占めており(75%)、「知っている」と回答した事業者は2割にとどまった。

・ 漏えい等発生時の規程・マニュアルの整備状況について、作成済とする事業者は1割程度にとどまり、「作成する予定であるが1年以内の予定はない」事業者が4割、「今後も作成する予定はない」事業者が4割を占めている。


出典:中小規模事業者の安全管理措置に関する実態調査 分析結果 P5

 

4.不正アクセス


・ 不正アクセスを受けたことがある中小規模事業者は、一部(3%)ではあるが、被害状況としては「システム等の停止」が多く、次いで「データの改ざん」、「クレジットカード情報漏えい」が挙がっている。

・ 不正アクセスの原因として、「システムの脆弱性に起因するもの」のほか、「フィッシングメール」、「セキュリティソフトを導入していなかった」、「パスワードの設定不備」などが挙がっている。これらは、何れも情報セキュリティの基本的な対策(システム機器の OS やソフトを最新の状態にすること、ウイルス対策ソフトの導入、ウイルス定義ファイルを最新の状態にすること、従業員に対する教育・注意喚起など)により回避で
きたものとみられる。

・ また、不正アクセスの被害を受けたにもかかわらず原因不明としている割合が3割と多く、中小規模事業者における情報セキュリティに関する分析・調査のノウハウが十分でないことがうかがわれる。


出典:中小規模事業者の安全管理措置に関する実態調査 分析結果 P6

 

5.ECサイト等の運営状況


・ECサイトを運営している中小規模事業者の割合は1割。このうち、ECサイトの開発方法について、「外部事業者に委託(オープンソースの EC サイト構築用プログラムなどでの構築を含む)」している事業者が半数程度を占めており、保守・運用についても、外部事業者に委託している事業が半数程度(そのうち大半が開発を行った事業者と同じ外部事業者を使用)を占めている。

・インシデント発生時の対応として、「何かあれば連絡があると思っているので、特にルール等は決めていない」とする事業者が4割と最も多く、自社と委託先との間で、セキュリティ対策に関する責任範囲を理解しておらず、認識合わせ・合意をしていないECサイト運営事業者が、大半であるとみられる。


出典:中小規模事業者の安全管理措置に関する実態調査 分析結果 P7

 

6.個人情報保護委員会への要望等


・個人情報保護委員会は、広報・啓発活動として、事業者への講師派遣や多面的な情報発信、ハンドブック等のホームページ掲載などの広報・啓発活動に努めている。

・この点、個人情報保護委員会のホームページを閲覧したことがあるとする事業者は1割未満にとどまっている。一方で、中小規模事業者側からは、個人情報保護委員会への要望として、資料の充実(分かりやすいパンフレット、具体的でわかりやすい対策やマニュアルなど)、説明会・研修会の実施などが挙がっている。

・こうした中小規模事業者の期待に応えていくために、上述の個人情報保護委員会からホームページなどにより提供している中小規模事業者の個人情報保護に関する理解に資する資料を、しっかりと周知していくとともに、さらなる資料の有用性の向上(改正法の内容を遅滞なく反映するほか、より分かりやすい解説にするなど)を図っていくことが肝要。


出典:中小規模事業者の安全管理措置に関する実態調査 分析結果 P8

 

個人情報保護委員会のウェブページを見たことがない企業が約9割ですから、ウェブページへのコンテンツの充実も重要ですが、まずは見てもらえる施策が必要なんでしょうね。。。

研修会の実施も記載されていますが、、、中小企業がよくみるWebページに個人情報保護委員会の資料をリンクしてもらうとか、、、そんなことも考えないとですね。。。

 

|

« 個人情報保護委員会 株式会社メタップスペイメントに対する個人情報の保護に関する法律に基づく行政上の対応について | Main | 個人情報保護委員会 「個人情報保護法の基本」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 個人情報保護委員会 株式会社メタップスペイメントに対する個人情報の保護に関する法律に基づく行政上の対応について | Main | 個人情報保護委員会 「個人情報保護法の基本」 »