情報セキュリティ対策に中小企業が主体的に取り組めるよう情報処理推進機構(IPA)では「SECURITY ACTION制度」を運用しています。同制度は情報セキュリティ対策の実施状況に応じて「一つ星」や「二つ星」を自己宣言する制度です。IPAでは自己宣言した事業者を対象に情報セキュリティ対策の実態調査を行い、その結果とともに同制度の課題などをとりまとめた報告書を4月9日に公表しました。
「SECURITY ACTION制度」で自己宣言を行った事業者を対象に2024年1月15日から2月13日にかけてウェブアンケート調査を実施しました。有効回答数は5,577件。
それによると、自己宣言のきっかけは補助金申請のためとする事業者が75.1%と大半を占めました。次いで「情報セキュリティに係る自社の対応を改善したいと考えていた」が 24.4%、「事業拡大や顧客開拓、取引先からの信頼を高める手段として有用と考えた」が 16.6%となりました(複数回答可)。
一方、宣言の効果を尋ねたところ最も高かったのは「特に得られた効果はない」であり33.7%、次いで「わからない」が 26.3%でした。2018年にIPAが調査した際には「取引先からの信頼が高まる」と期待した事業者は46.0%ありましたが、得られた効果を「取引先からの信頼性向上」と今回調査で回答した事業者は13.2%に留まりました。ただ、宣言の効果を感じている事業者も一定数はあり、「経営層の情報セキュリティ対策に関する意識の向上」が23.0%、「従業員による情報管理や情報セキュリティに関する意識の向上」が22.8%となりました(複数回答可)。
IPAでは回答者の2割が現在の取り組み段階について一つ星なのか二つ星なのかが分からないとしている点を踏まえ、補助金取得後も継続的に情報セキュリティ対策に取り組む意識を醸成することが課題としました。今後は一つ星から二つ星へとステップアップするメリットの提示や、制度の知名度向上に向けた活動の強化などが求められると総括しています。
