4割弱の中小企業、改正個情法の内容「知らない」 - 4社に3社は漏洩報告義務把握せず

回答時点における改正個人情報保護法への対応状況を見ると、「改正したことや改正内容を知らない」が37％でもっとも多い。「対応の予定はない」が17％、「施行までに対応予定」が13％、「1年以内に対応予定」が12％だった。「対応済み」とした企業は回答した5231社中、124社とわずか2％にとどまる。

個人情報漏洩が発生した際の報告の義務化について、75％が「知らなかった」と回答。個人情報漏洩が発生した場合の規程やマニュアルの整備状況については、「今はないがこれから作成する予定（1年以内の予定はない）」「今もなく、今後も作成する予定はない」がそれぞれ37％だった。

不正アクセスを受けた経験を聞いたところ、3％にあたる162社が「受けたことがある」と回答。さらに被害の内容を尋ねたところ「システムなどの停止」が33％でもっとも多い。「データの改ざん（12％）」「クレジットカード情報など決済情報の漏洩（9％）」「顧客、取引先情報の漏洩（4％）」が続いた。

不正アクセスの原因は、「システムの脆弱性」が28％、次いで「フィッシングメール」が25％と多い。「パスワードの設定不備（6％）」「セキュリティ対策ソフトを導入していなかった（11％）」との回答にくわえて、32％は「原因不明」と回答した。

9％にあたる470社がeコマースサイトを運営。サイトの開発方法を見ると、50％が「外部委託による構築」としており、サイトの保守、運用についても47％が「開発を行った外部事業者」が行っている。

インシデント発生時の対応について聞いたところ、43％は「何かあれば連絡があると思っているので、特にルールは決めていない」という。「詳細は決めていないものの、休日を含めた緊急時の連絡体制は整えている」が29％だった。

（Security NEXT - 2022/07/06 ）ツイート