約半数の企業が「営業秘密契約」を未締結 ~IPA「企業における営業秘密管理に関する実態調査2020」を発表

 

 

 

IPA(独立行政法人情報処理推進機構)は3月18日、「企業における営業秘密管理に関する実態調査2020」報告書を発表した。

調査は、全国の1万6000社を対象に2020年10月12日~11月27日に実施され、2174件の回答があった。従業員301名以上の「大企業」は製造業304社・非製造業438社、従業員300名以下の「中小規模企業」は、製造業583社・非製造業785社という内訳であった。

報告書は前回(2016年)調査からの変化として、次のような点を挙げている。

まず、「内部不正対策は進展したか?」について

・秘密保持に関する誓約書の徴求(請求)や就業規則の見直しを行う企業が増加
・内部不正を原因とする情報漏洩インシデントの発生は微減
・クラウドサービス上の秘密情報の不正利用対策は進展していない

さらに、「中小企業における情報管理対策は進展したか?」については、

・情報漏洩の生じた企業の比率は、やや増加
・情報漏洩の発生頻度は、中小規模企業よりも大規模企業において高い
・連携先やサプライチェーンを通じた情報漏洩が増加
・漏洩する情報の種類は、引き続き顧客情報・個人情報が最多
・営業秘密のレベル別管理を行っている企業は増えていない
・企業内でルールが適切に運用されているとは限らない

また、「情報管理に関する強化のきっかけはあったか?」については、

・情報管理強化のきっかけは取引先からの要求が最多

 
営業秘密漏洩の発生状況 

過去5年間における営業秘密の漏洩件数は、減少が見られた。漏洩が発生したのは約5%の企業である。

減少の理由として報告書は、「攻撃の巧妙化により、事象そのものを認知できていない可能性」「企業における対策の進展」「調査対象の区分の変更により、零細企業が減り、中規模企業が増えた結果」の3点を指摘している。

 

過去5年以内の営業秘密漏えい事例の有無
 
漏洩発生のルート

漏洩の発生元としては、「従業員の誤操作・誤認」「国内の取引先・共同研究者」が減少したのに対して、「中途退職者」「サイバー攻撃」が増加した。中途退職者は7.7ポイント、サイバー攻撃は3.2ポイントの増加である。

 

漏洩発生のルート
 
不正アクセス対策

不正アクセス対策としては、「特に何もしていない」が前回調査より27.9ポイント減少し、何らかの対策を取る企業が増加した。増加したのは前回調査の上位4項目。今回もトップ4となった。コロナ対策の在宅勤務への対応も多く含まれると見られる。

 

不正アクセス対策の状況
 
不正持ち出し対策

「特に何もしていない」が前回調査より17.6ポイント減少した。増加したのは、「USBメモリ、撮影機器等の持ち込み・持ち出し制限」「業務使用PC等でのUSBメモリ等への書き出し制御」「紙資料、IT機器、記録媒体等の採番・台帳管理」「紙資料、IT機器、記録媒体等の施錠保管(2020年のみ調査)」。そして「従業員IDカードでの印刷・複写制限」「業務使用PC等のローカルドライブへの保存制限」である。

 
不正持ち出し対策の状況
 
不正しにくい環境づくり

前回調査よりも大きく増えたのは(11.1ポイント増)「防犯カメラの設置と周知」である。そのほか、「不自然なアクセス発生時の上司への警告・通知」「外部への電子メール送信時のチェック機能導入」などが増えた。

 

不正しにくい環境づくりの状況

 

 

役員・従業員を対象とする秘密保持契約の締結状況

「締結していない」が減少し、「締結している」が増加した。締結している企業では、「期間の定め無し」が圧倒的に多い。

 

秘密保持契約の締結状況
 
成熟度別の傾向

報告書では、情報漏洩の実態や対策を基に企業の成熟度を「高」「中」「低」に分類し、分析を行っている。成熟度の判定に用いた指標と分類は、次の通り。

成熟度が高い企業  :702社
成熟度が中程度の企業:841社
成熟度が低い企業  :631社

 

成熟度判定の指標と成熟度別の企業数

 

成熟度と業種との関係

成熟度の比率が高いのは、「情報通信業」「金融・保険業」「電気・ガス・熱供給・水道業」、成熟度の比率が低いのは「教育・学習支援業」「運輸業」「飲食・宿泊業」という結果である。

 

成熟度と業種のクロス分析
 
成熟度ごとに重視する脅威が異なる

対策が必要と考えている脅威は、成熟度ごとに異なる。成」熟度が高い企業がトップに挙げる項目は「自社の営業秘密を狙う外部からの標的型攻撃」、中程度の企業は「サイバーセキュリティ対策等に関する体制の不備や担当者のスキル不足」、成熟度が低い企業も1位は「サイバーセキュリティ対策等に関する体制の不備や担当者のスキル不足」だが、「自社の秘密情報管理に関するルールの不備」の比率がほかよりも大きい特徴が見られる。

重視する脅威
 
対策における課題

成熟度が高い企業は「技術的対策に要するコストが高額なこと」「対策の費用対効果を明示しにくいこと」「新たな業務環境における適切な対策の見極めができていないこと」、一方、成熟度が低い企業は「従業員に秘密情報管理のルール遵守を徹底させることが難しいこと」「対策の費用対効果を明示しにくいこと」を挙げている。

 

対策における課題

 

IPA「企業における営業秘密管理に関する実態調査2020」報告書

 

[i Magazine・IS magazine]

More Posts