被害の防止策

(1)

組織面・運用面の対策の実施

全体では、「重要なシステム・データのバックアップ」が最も多く

37.1％、次いで「特に実施していな

い」が

34.2％、「情報（書類などの紙媒体）の施錠管理」で 23.2％である。

企業規模別で見ると、小規模企業で最も多いのは「特に実施していない」で

42.2％、中小企業（100

人 以下）で最も多いのは「重要なシステム・データのバックアップ」で

42.7％、中小企業（101

人以上）

で最も多いのは「重要なシステム・データのバックアップ」で

71.2％である。

役割別の回答で見ると、経営層で最も多いのは「特に実施していない」で

37.3％、 IT

または情報セキ ュリティ担当者で最も多いのは「重要なシステム・データのバックアップ」で

61.2％、一般社員で最も

多いのは「重要なシステム・データのバックアップ」で

39.5％である。

業種別の回答で見ると、情報通信業、金融業・保険業とそれ以外の業種では乖離がある。「重要なシス テム・データのバックアップ」と最も多く回答したのは情報通信業で

74.1％、次点は金融業・保険業で

56.3％である。「特に実施していない」と最も多く回答したのは農林漁業で 46.7％である。

図 2-140 被害の防止策（企業規模別）

5.4%

6.0%

2.3%

3.5%

14.0%

20.9%

12.1%

3.9%

11.8%

23.2%

6.1%

11.5%

15.6%

14.4%

8.3%

37.1%

2.3%

2.9%

0.6%

1.0%

8.2%

14.6%

8.5%

1.4%

6.4%

16.0%

2.7%

7.9%

9.4%

7.6%

4.8%

29.8%

7.2%

8.0%

3.4%

4.9%

17.8%

25.9%

14.7%

5.2%

15.6%

28.9%

8.4%

14.1%

19.8%

19.1%

10.2%

42.7%

27.6%

24.5%

11.0%

20.2%

46.6%

47.9%

30.7%

22.7%

41.7%

55.8%

24.5%

31.3%

49.7%

50.3%

32.5%

71.2%

0% 20% 40% 60% 80% 100%

事業継続計画（BCP）の策定

情報セキュリティに関するリスク分析

情報セキュリティマネジメントシステム（ISMS）の認証取得

プライバシーマーク（Pマーク）の取得

セキュリティポリシー（セキュリティの規程やルール）が⽂章化されている

⼀般ユーザアカウントの管理ルールの策定（パスワードの設定ルール等）

Webサイト管理者権限アカウントの管理ルールの策定

IT資産構成や設定の⽂書化

フロアや施設への⼊退出管理

情報（書類などの紙媒体）の施錠管理

セキュリティワイヤー等による機器の固定

外部送信ファイルへのパスワード設定

機器や記録媒体の持込み・持出しの制限

アカウント毎のアクセス制御

⼀般ユーザのプログラムインストールの制限（exeファイルの実⾏禁⽌等）

重要なシステム・データのバックアップ 企業規模別

全体 (n=4215)

⼩規模企業 (n=2192)

中⼩企業（100⼈以下） (n=1860) 中⼩企業（101⼈以上） (n=163)

図 2-141 被害の防止策（企業規模別）

21.1%

12.0%

3.8%

5.6%

6.7%

3.1%

5.4%

7.4%

7.3%

1.0%

1.0%

1.8%

0.9%

0.9%

1.0%

34.2%

5.8%

15.5%

9.1%

2.1%

4.3%

2.9%

1.3%

2.8%

4.0%

3.6%

0.4%

0.5%

1.0%

0.5%

0.4%

1.2%

42.2%

7.5%

25.0%

13.6%

4.9%

6.5%

9.5%

4.5%

7.1%

9.6%

9.5%

1.3%

1.2%

2.4%

1.3%

1.3%

0.8%

27.0%

4.2%

52.1%

32.5%

15.3%

12.9%

25.2%

11.7%

20.2%

29.4%

31.3%

5.5%

4.3%

6.1%

3.7%

2.5%

0.6%

8.6%

0.0%

0% 20% 40% 60% 80% 100%

ハードディスク等の廃棄時の破砕／溶融

セキュリティ監視サービスの活⽤

ログやファイル情報に基づくWebコンテンツの改ざん検知

定期的なWebコンテンツのセキュリティ診断サービス（ぜい弱性調査）の 活⽤

情報セキュリティ監査（内部監査）の実施

情報セキュリティ監査（外部監査）の実施

情報セキュリティ対策の定期的な⾒直し

委託先の情報セキュリティ対策、体制、実施状況などの確認

（内容に応じて）委託先とNDA（機密保持契約）の締結

クラウドサービス利⽤のための情報セキュリティマネジメントガイドライン（経 済産業省ガイドライン）の活⽤

情報セキュリティ管理基準（経済産業省告⽰）の活⽤

SSL／TLS暗号設定ガイドライン（IPAのガイドライン）の活⽤

組織における内部不正防⽌ガイドライン（IPAのガイドライン）の活⽤

中⼩企業における組織的な情報セキュリティ対策ガイドライン（IPAのガイ ドライン）の活⽤

その他

特に実施していない

無回答 企業規模別

全体 (n=4215)

⼩規模企業 (n=2192)

中⼩企業（100⼈以下） (n=1860) 中⼩企業（101⼈以上） (n=163)

図 2-142 被害の防止策（役割別）

5.6%

6.1%

2.3%

3.6%

14.3%

21.2%

12.3%

4.1%

12.0%

23.6%

6.3%

11.7%

16.0%

14.7%

8.5%

37.3%

3.9%

5.0%

2.0%

2.8%

11.2%

17.6%

10.8%

2.8%

9.0%

19.0%

4.3%

9.5%

13.2%

10.6%

6.7%

32.2%

14.7%

13.7%

4.4%

8.6%

31.7%

39.7%

22.5%

13.2%

28.1%

42.9%

17.1%

22.7%

32.4%

36.9%

19.2%

61.2%

5.1%

4.3%

1.6%

2.8%

12.9%

20.9%

9.4%

1.6%

11.2%

28.2%

5.9%

11.9%

14.0%

13.2%

6.8%

39.5%

0% 20% 40% 60% 80% 100%

事業継続計画（BCP）の策定

情報セキュリティに関するリスク分析

情報セキュリティマネジメントシステム（ISMS）の認証取得

プライバシーマーク（Pマーク）の取得

セキュリティポリシー（セキュリティの規程やルール）が⽂章化されている

⼀般ユーザアカウントの管理ルールの策定（パスワードの設定ルール等）

Webサイト管理者権限アカウントの管理ルールの策定

IT資産構成や設定の⽂書化

フロアや施設への⼊退出管理

情報（書類などの紙媒体）の施錠管理

セキュリティワイヤー等による機器の固定

外部送信ファイルへのパスワード設定

機器や記録媒体の持込み・持出しの制限

アカウント毎のアクセス制御

⼀般ユーザのプログラムインストールの制限（exeファイルの実⾏禁⽌等）

重要なシステム・データのバックアップ 役割別

全体 (n=4232) 経営層 (n=3035)

ITや情報セキュリティの社内担当者 (n=590)

⼀般社員 (n=607)

図 2-143 被害の防止策（役割別）

21.4%

12.0%

3.9%

5.6%

6.8%

3.2%

5.5%

7.6%

7.4%

0.9%

0.9%

1.9%

0.9%

0.9%

0.9%

33.8%

5.9%

18.3%

10.8%

2.8%

5.3%

5.3%

2.5%

4.4%

6.2%

5.5%

0.7%

0.6%

1.5%

0.8%

0.7%

1.0%

37.3%

7.0%

40.3%

18.0%

10.2%

6.8%

16.4%

8.3%

12.9%

15.3%

18.8%

2.2%

2.2%

3.7%

1.9%

1.7%

1.2%

17.3%

1.2%

18.1%

11.9%

3.1%

5.6%

5.1%

1.5%

3.5%

7.2%

5.8%

0.7%

1.5%

1.6%

0.8%

1.0%

0.3%

32.5%

4.6%

0% 20% 40% 60% 80% 100%

ハードディスク等の廃棄時の破砕／溶融

セキュリティ監視サービスの活⽤

ログやファイル情報に基づくWebコンテンツの改ざん検知

定期的なWebコンテンツのセキュリティ診断サービス（ぜい弱性調査）の 活⽤

情報セキュリティ監査（内部監査）の実施

情報セキュリティ監査（外部監査）の実施

情報セキュリティ対策の定期的な⾒直し

委託先の情報セキュリティ対策、体制、実施状況などの確認

（内容に応じて）委託先とNDA（機密保持契約）の締結

クラウドサービス利⽤のための情報セキュリティマネジメントガイドライン（経 済産業省ガイドライン）の活⽤

情報セキュリティ管理基準（経済産業省告⽰）の活⽤

SSL／TLS暗号設定ガイドライン（IPAのガイドライン）の活⽤

組織における内部不正防⽌ガイドライン（IPAのガイドライン）の活⽤

中⼩企業における組織的な情報セキュリティ対策ガイドライン（IPAのガイ ドライン）の活⽤

その他

特に実施していない

無回答 役割別

全体 (n=4232) 経営層 (n=3035)

ITや情報セキュリティの社内担当者 (n=590)

⼀般社員 (n=607)

5.6%

6.2%

2.3%

3.7%

14.3%

21.3%

12.3%

4.1%

12.0%

23.6%

1.2%

3.0%

0.6%

0.0%

4.1%

10.7%

6.5%

3.0%

4.7%

18.3%

3.7%

2.7%

1.0%

0.4%

4.8%

16.6%

7.9%

1.0%

3.5%

15.0%

4.1%

3.2%

0.5%

0.8%

6.5%

15.6%

8.7%

1.4%

5.4%

16.0%

23.6%

34.9%

22.6%

29.7%

56.6%

56.6%

44.3%

27.8%

61.3%

63.2%

1.9%

3.7%

1.2%

1.2%

11.2%

14.9%

8.1%

1.9%

6.2%

14.3%

2.2%

2.6%

0.7%

1.1%

5.9%

14.8%

9.2%

0.7%

5.2%

13.3%

1.8%

1.8%

0.6%

1.6%

8.1%

14.1%

8.5%

0.6%

4.6%

11.7%

31.7%

20.1%

3.5%

5.0%

60.3%

53.8%

29.1%

17.1%

45.7%

69.3%

2.4%

2.7%

0.0%

1.2%

8.8%

17.1%

10.1%

1.8%

10.7%

23.8%

4.0%

6.2%

2.1%

4.6%

15.0%

22.3%

11.7%

3.7%

11.4%

25.5%

0% 20% 40% 60% 80% 100%

事業継続計画（BCP）の策定

情報セキュリティに関するリスク分析

情報セキュリティマネジメントシステム（ISMS）の認証取得

プライバシーマーク（Pマーク）の取得

セキュリティポリシー（セキュリティの規程やルール）が⽂章化されている

⼀般ユーザアカウントの管理ルールの策定（パスワードの設定ルール等）

Webサイト管理者権限アカウントの管理ルールの策定

IT資産構成や設定の⽂書化

フロアや施設への⼊退出管理

情報（書類などの紙媒体）の施錠管理 業種別

全体 (n=4270) 農林漁業 (n=169)

建設業 (n=481) 製造業・鉱業・電気・ガス・熱供給・⽔道業 (n=633)

情報通信業 (n=212) 運輸業，郵便業 (n=161)

卸売業 (n=271) ⼩売業 (n=505)

図

2-145

被害の防止策（業種別）

6.3%

11.7%

15.9%

14.8%

8.4%

37.4%

21.5%

12.1%

3.9%

5.6%

1.8%

5.9%

5.9%

7.7%

2.4%

30.8%

11.8%

8.9%

1.2%

3.6%

3.7%

4.6%

6.7%

6.2%

2.1%

28.1%

14.8%

12.7%

0.4%

2.9%

2.2%

6.3%

10.6%

13.0%

4.3%

37.0%

17.5%

11.7%

2.1%

4.9%

33.0%

52.4%

55.7%

57.1%

27.4%

74.1%

62.7%

22.6%

25.9%

13.2%

3.7%

4.3%

10.6%

10.6%

6.8%

28.6%

14.3%

9.3%

1.2%

5.0%

1.8%

4.1%

9.6%

9.6%

6.3%

33.2%

14.8%

11.4%

1.1%

5.9%

3.4%

6.3%

9.9%

7.9%

4.8%

26.9%

13.1%

7.9%

0.4%

2.4%

21.1%

46.7%

57.3%

44.7%

36.2%

56.3%

54.3%

23.6%

15.6%

12.1%

4.9%

4.6%

12.5%

8.8%

6.7%

39.0%

18.6%

13.7%

3.0%

5.8%

6.0%

12.0%

15.6%

14.0%

8.8%

38.5%

21.7%

10.7%

3.6%

6.2%

0% 20% 40% 60% 80% 100%

セキュリティワイヤー等による機器の固定

外部送信ファイルへのパスワード設定

機器や記録媒体の持込み・持出しの制限

アカウント毎のアクセス制御

⼀般ユーザのプログラムインストールの制限（exeファイルの実⾏禁⽌等）

重要なシステム・データのバックアップ

ハードディスク等の廃棄時の破砕／溶融

セキュリティ監視サービスの活⽤

ログやファイル情報に基づくWebコンテンツの改ざん検知

定期的なWebコンテンツのセキュリティ診断サービス（ぜい弱性調査）の 活⽤

業種別

全体 (n=4270) 農林漁業 (n=169)

建設業 (n=481) 製造業・鉱業・電気・ガス・熱供給・⽔道業 (n=633)

情報通信業 (n=212) 運輸業，郵便業 (n=161)

卸売業 (n=271) ⼩売業 (n=505)

⾦融業，保険業 (n=199) 不動産業，物品賃貸業 (n=328) サービス業・その他 (n=1311)

6.9%

3.2%

5.5%

7.6%

7.5%

1.0%

1.0%

1.9%

0.9%

0.9%

1.0%

33.9%

5.8%

0.6%

0.6%

1.2%

3.0%

0.6%

0.0%

0.0%

0.6%

0.0%

0.6%

1.2%

46.7%

4.7%

2.3%

1.7%

2.7%

2.7%

1.7%

0.4%

0.2%

0.4%

0.2%

0.0%

0.6%

42.6%

6.9%

2.2%

0.3%

2.8%

3.3%

3.8%

0.8%

0.2%

1.1%

0.3%

0.5%

2.1%

35.7%

5.8%

40.1%

19.3%

31.6%

27.8%

42.9%

5.7%

4.7%

11.8%

6.1%

6.6%

1.9%

3.8%

0.0%

4.3%

2.5%

1.2%

4.3%

3.7%

1.2%

0.0%

0.6%

0.6%

0.0%

0.6%

37.9%

8.1%

3.7%

0.4%

2.2%

3.7%

2.6%

0.0%

0.0%

0.4%

0.7%

0.0%

1.1%

38.4%

5.2%

2.0%

1.0%

1.4%

4.4%

3.2%

0.4%

0.2%

1.8%

0.6%

0.4%

0.2%

42.8%

9.3%

32.2%

14.6%

19.1%

38.2%

31.7%

3.5%

6.5%

3.5%

2.5%

1.5%

1.0%

5.5%

1.0%

3.7%

1.5%

3.7%

5.5%

2.4%

0.3%

1.2%

0.6%

0.6%

0.9%

0.9%

32.3%

4.9%

6.1%

3.1%

5.3%

7.2%

7.2%

0.8%

0.8%

1.8%

0.8%

0.9%

0.7%

32.9%

5.8%

0% 20% 40% 60% 80% 100%

情報セキュリティ監査（内部監査）の実施

情報セキュリティ監査（外部監査）の実施

情報セキュリティ対策の定期的な⾒直し

委託先の情報セキュリティ対策、体制、実施状況などの確認

（内容に応じて）委託先とNDA（機密保持契約）の締結

クラウドサービス利⽤のための情報セキュリティマネジメントガイドライン（経 済産業省ガイドライン）の活⽤

情報セキュリティ管理基準（経済産業省告⽰）の活⽤

SSL／TLS暗号設定ガイドライン（IPAのガイドライン）の活⽤

組織における内部不正防⽌ガイドライン（IPAのガイドライン）の活⽤

中⼩企業における組織的な情報セキュリティ対策ガイドライン（IPAのガイ ドライン）の活⽤

その他

特に実施していない

無回答 業種別

(2)

セキュリティポリシーの規定内容

全体では、「基本規程（基本方針）」が最も多く

86.1％、次いで「守秘義務」が 70.9％、「責任者の任

命」で

65.1％である。

企業規模別で見ると、小規模企業で最も多いのは「基本規程（基本方針）」で

83.3％、中小企業（100

人以下）で最も多いのは「基本規程（基本方針）」で

86.4％、中小企業（101

人以上）で最も多いのは「基 本規程（基本方針）」で

90.3％である。

役割別の回答で見ると、経営層で最も多いのは「基本規程（基本方針）」で

84.1％、IT

または情報セ キュリティ担当者で最も多いのは「基本規程（基本方針）」で

91.4％、一般社員で最も多いのは「基本規

程（基本方針）」で

83.3％である。

業種別の回答で見ると、情報通信業、金融業・保険業とそれ以外の業種では乖離がある。「基本規程

（基本方針）」と最も多く回答したのは情報通信業と金融業・保険業で

95.0％、次点はで運輸業・郵便業

で

83.3％である。

「守秘義務」と最も多く回答したのは運輸業・郵便業で

83.3％、次点は金融業・保険業

で

81.7％である。

「責任者の任命」と最も多く回答したのは金融業・保険業で

86.7％、次点は情報通信業

で

80.0％である。

図

2-147

セキュリティポリシーの規定内容（企業規模別）

86.1%

53.1%

65.1%

36.1%

44.7%

30.4%

70.9%

52.0%

39.1%

44.6%

12.9%

0.9%

0.2%

0.9%

83.3%

42.2%

61.1%

31.7%

38.9%

20.6%

74.4%

45.6%

35.6%

42.8%

12.2%

1.7%

0.0%

0.6%

86.4%

54.2%

63.9%

36.1%

45.2%

30.1%

68.7%

50.6%

37.0%

42.2%

11.4%

0.6%

0.3%

1.2%

90.8%

73.7%

80.3%

46.1%

56.6%

55.3%

72.4%

73.7%

56.6%

59.2%

21.1%

0.0%

0.0%

0.0%

0% 20% 40% 60% 80% 100%

基本規程（基本⽅針）

詳細規則（対策基準、実施⼿順・運⽤規則等）

責任者の任命

従業員⼜は部署ごとの情報取扱に関する役割明確化

アクセス権限明確化

情報資産の識別、重要度の分類

守秘義務

機器、メール、インターネットアクセスの私的利⽤制限

機器等の取扱、破損、紛失に留意する項⽬

紛失した場合などの届け出義務

著作権侵害

その他

特にはない

無回答 企業規模別

全体 (n=588)

⼩規模企業 (n=180)

中⼩企業（100⼈以下） (n=332) 中⼩企業（101⼈以上） (n=76)

図

2-148

セキュリティポリシーの規定内容（役割別）

86.3%

53.4%

65.1%

35.5%

44.6%

29.9%

70.6%

51.9%

38.8%

43.6%

12.7%

0.8%

0.2%

1.0%

84.1%

49.4%

61.8%

32.4%

42.9%

26.2%

73.2%

47.9%

37.4%

44.1%

12.4%

1.5%

0.0%

1.2%

91.4%

62.6%

72.2%

42.2%

47.6%

37.4%

70.6%

58.8%

45.5%

45.5%

16.6%

0.0%

0.5%

0.5%

83.3%

48.7%

62.8%

33.3%

44.9%

28.2%

59.0%

52.6%

29.5%

37.2%

5.1%

0.0%

0.0%

1.3%

0% 20% 40% 60% 80% 100%

基本規程（基本⽅針）

詳細規則（対策基準、実施⼿順・運⽤規則等）

責任者の任命

従業員⼜は部署ごとの情報取扱に関する役割明確化

アクセス権限明確化

情報資産の識別、重要度の分類

守秘義務

機器、メール、インターネットアクセスの私的利⽤制限

機器等の取扱、破損、紛失に留意する項⽬

紛失した場合などの届け出義務

著作権侵害

その他

特にはない

無回答 役割別

全体 (n=605) 経営層 (n=340)

ITや情報セキュリティの社内担当者 (n=187)

⼀般社員 (n=78)

ドキュメント内 目次 第 1 章 調査概要 調査の背景と目的 調査内容 調査期間 調査方法 アンケート調査 訪問調査... 6 第 2 章 アンケート調査 回収数 回答企業の属性... (ページ 120-138)