情報処理推進機構（IPA）は10月27日、中小企業の情報セキュリティ対策の実施状況やIPAが作成したガイドラインの活用効果などを把握、情報セキュリティ対策の検討に活用するため、「中小企業における情報セキュリティ対策実施状況等調査」（PDF形式）を実施、報告書を公開した。

　IPAは2007年10月から「中小企業の情報セキュリティ対策に関する研究会」（委員長：大木栄二郎氏＝工学院大学教授）を設置、中小企業の情報セキュリティ対策のあり方について検討を続けている。その成果として3月に「中小企業の情報セキュリティ対策ガイドライン」（PDF形式）を公開している。

　公開された報告書によれば、IPAが作成した「5分でできる自社診断シート」（PDF形式）を使って、調査対象企業の対策状況を確認すると、65％が合格基準として設定した70点に満たなかったという。自社診断シートは、情報セキュリティ対策の入門レベルを想定、最低限実施すべき項目をまとめたもの。この結果から、IPAでは早急に中小企業の情報セキュリティ対策の底上げを行う必要があると見ている。

　対策項目別の実施状況を見ると、社内でのルール化や重要情報の明確化といった組織全体で取り組むべき項目が実施されていない傾向があるという。

　調査対象企業の多くは、情報システムの開発事業者などの外部の専門家から情報セキュリティ対策についての提案を受けておらず、自らも積極的に情報を収集していないことが明らかになっている。対策を検討する際には、技術的知識のほかに、業務分析や保有している情報の重要性分析を行う必要があり、企業経営の分析能力が必要になる。多くの中小企業では社内に豊富な知識や能力を有する人材が存在せず、専門家との接点もないことも明らかになっている。

　最近の経済状況を受けて、IT投資意欲が低迷しているが、情報セキュリティ投資でも必要最低限に絞られる傾向がある。中小企業の担当者が必要性を主張しても、経営層の理解を得られないという回答が寄せられたという。ほかの合理化案件と抱き合わせでコスト削減に結びつけることで、経営層の理解を得るといったケースがあったとしている。

　IPA作成ガイドラインについては、調査対象企業から実施していない項目に気付くいい機会になったなど、おおむね好評を得ているとしている。ただ、ガイドラインを「自ら手に取ろうとは思わない」という回答もあり、中小企業での情報セキュリティ対策の底上げには、やはり外部専門家などの協力が重要と分析している。

　調査は、国内各地の従業員300人までの中小企業66社が対象。業種では、製造、建設、小売り、卸、飲食、サービス、不動産、運輸としている。