中小企業の情報コゥポモゾ゛対策確認手法に関する …Æ3û )Y b S( "á cH17 º _87.6% _4) K Z 8 >&表 1.1-1>' ² / ¹ b89.6% _ 3Q M d,] ¸ * 8 v b b (Ù9

2007 情財第 720 号

中小企業の情報セキュリティ対策

確認手法に関する実態調査

調査報告書

平成 20 年 4 月

独立行政法人情報処理推進機構

セキュリティセンター

目次

1. 概要 .............................................................................1

1.1. 背景 .........................................................................1

1.2. 検討の目的と方針 .............................................................3

1.3. 中小企業の定義 ...............................................................4

1.4. 検討の方法 ...................................................................4

1.5. 実態調査の概要 ...............................................................6

1.5.1. 調査の全体像 .............................................................6

1.5.2. アンケート調査 ...........................................................7

1.5.3. ヒアリング調査 ...........................................................9

1.5.4. 文献調査 .................................................................9

2. 調査結果のまとめ ................................................................10

2.1. アンケート調査結果 ..........................................................10

2.2. ヒアリング調査結果 ..........................................................11

3. アンケート調査結果詳細 ..........................................................14

3.1. 大企業向け調査結果 ..........................................................14

3.1.1. 委託業務の実態 ..........................................................14

3.1.2. 委託先の情報セキュリティ対策に関する要求実態.............................16

3.1.3. 委託先の情報セキュリティ対策確認に関する課題.............................21

3.2. 中小企業向け調査結果 ........................................................24

3.2.1. 受託業務の実態 ..........................................................24

3.2.2. 受託業務の実態 ..........................................................26

3.2.3. 情報セキュリティ対策実施状況 ............................................30

3.2.4. 情報セキュリティ対策上の課題 ............................................33

3.2.5. IT 投資・情報セキュリティ投資の状況 ......................................39

4. ヒアリング調査結果詳細 ..........................................................41

4.1. 大企業向けヒアリング調査結果 ................................................41

4.2. 中小企業向けヒアリング調査結果 ..............................................43

5. 中小企業の情報セキュリティ対策に関する要件.......................................49

5.1. 中小企業の情報セキュリティ対策に関する考え方.................................49

5.2. 中小企業の情報セキュリティ対策に関する要件...................................49

5.2.1. 情報セキュリティの観点から見た中小企業の分類.............................49

5.2.2. 情報セキュリティ対策に関する要件.........................................51

5.2.3. 情報セキュリティ上の管理策 ..............................................53

6. 今後の課題 ......................................................................57

6.1. 中小企業の情報セキュリティ対策の推進方策.....................................57

付録 A.アンケート調査票

付録 B.IPA の中小企業向け施策

中小企業の情報セキュリティ対策に関する研究会

委員名簿

（委員長）

大木栄二郎工学院大学情報学部教授

（委員）

井上陽一 NPO日本ネットワークセキュリティ協会西日本支部長

金森喜久男松下電器産業株式会社情報セキュリティ本部上席審議役

北岡弘章弁護士・弁理士

木村玲美浜松総務部有限会社代表取締役

坂田明明豊ファシリティワークス株式会社取締役会長

塩崎哲夫富士通株式会社情報セキュリティセンター長

杉中恒彦独立行政法人中小企業基盤整備機構

西谷和雄日本商工会議所情報化推進部課長

野中武志財団法人日本情報処理開発協会

丸山満彦監査法人トーマツ（公認会計士）

南山智之シンキングネットワークス株式会社代表取締役

（五十音順、敬称略）

（オブザーバー）

経済産業省

（事務局）

独立行政法人情報処理推進機構セキュリティセンター

株式会社三菱総合研究所

以上

1

1. 概要

1.1. 背景

16

300 99%

88% 300

100 300

H17 87.6% 表 1.1-1

89.6% 9

LAN

図 1.1-1

表表表表 1.1-1 企業内通信網企業内通信網企業内通信網企業内通信網のののの構築率構築率構築率構築率（（（（従業員数別従業員数別従業員数別従業員数別））））

89.6%

96.3%

97.6%

97.7%

97.3%

96.8%

90.4%

87.6%

平成17年

91.6%

98.5%

98.2%

97.3%

98.3%

95.2%

93.4%

90.2%

平成15年

89.5%

100.0%

98.1%

99.0%

99.0%

98.0%

95.3%

86.6%

平成16年

90.6%

100.0%

100.0%

99.3%

98.5%

97.3%

93.9%

88.4%

平成14年

全体

5000人～

3000人～4999人

2000人～2999人

1000人～1999人

500人～999人

300人～499人

100人～299人

企業規模区分

89.6%

96.3%

97.6%

97.7%

97.3%

96.8%

90.4%

87.6%

平成17年

91.6%

98.5%

98.2%

97.3%

98.3%

95.2%

93.4%

90.2%

平成15年

89.5%

100.0%

98.1%

99.0%

99.0%

98.0%

95.3%

86.6%

平成16年

90.6%

100.0%

100.0%

99.3%

98.5%

97.3%

93.9%

88.4%

平成14年

全体

5000人～

3000人～4999人

2000人～2999人

1000人～1999人

500人～999人

300人～499人

100人～299人

企業規模区分

出典：総務省「通信利用動向調査」（企業調査）平成 17 年

2

14.7% 13.9%15.9%

12.6%

15.0%

10.7%

24.9%

18.4%

21.7% 20.9%

15.2%

13.0%

8.8%

2.7%3.7%

0.0%

5.0%

10.0%

15.0%

20.0%

25.0%

30.0%

セ

キ

ュ

リ

テ

ィ

ポ

リ

シ

ー

の策

定

全

社

的

な

セ

キ

ュ

リ

テ

ィ

管

理

者

の配

置

部

門

ご

と

の

セ

キ

ュ

リ

テ

ィ

管

理

者

の配

置

従

業

員

に対

す

る情

報

セ

キ

ュ

リ

テ

ィ教

育

セ

キ

ュ

リ

テ

ィ監

視

ソ

フ

ト

の導

入

H14年度

H15年度

H16年度

図図図図 1.1-1 大企業大企業大企業大企業とととと中小企業中小企業中小企業中小企業（（（（従業員従業員従業員従業員 300人未満人未満人未満人未満））））のののの対策実施率対策実施率対策実施率対策実施率のののの差異差異差異差異

※"対策実施率の差異"＝"大企業における対策実施率"－"中小企業における対策実施率"

出典：経済産業省「グローバル情報セキュリティ戦略」

JIPDEC 1

63.2% 2 図 1.1-2

9.4%

68.4%

1 JIPDEC 2007 2

1439

3

7.7%

13.1%

15.2%

63.2%

74.9%

20.7%

11.1%

9.6%

27.7%

60.5%

0% 20% 40% 60% 80% 100%

その他

委託先に対する監査を定期的に実施している

定期的に委託先を訪問してチェックしている

委託先の保護水準を判断する基準を定め選定している

委託処理終了後の個人情報の取扱い等を明確にした契約書を交

わしている

H17年度

H18年度

図図図図 1.1-2 委託先委託先委託先委託先のののの監督監督監督監督のののの実施実施実施実施

出典：経済産業省・JIPDEC「経済産業分野の事業者における個人情報の保護に関する取組み実態調査 2007」

1.2. 検討の目的と方針

1.

�

�

4

�

2.

�

�

�

�

1.3. 中小企業の定義

表 1.3-1

3 900 5 200

3 300

表表表表 1.3-1 中小企業中小企業中小企業中小企業のののの定義定義定義定義

製造業製造業製造業製造業卸売業卸売業卸売業卸売業小売業小売業小売業小売業サービスサービスサービスサービス業業業業そのそのそのその他産業他産業他産業他産業

資本金資本金資本金資本金 3億円以下 1億円以下 5千万円以下 5千万円以下 3億円以下

従業員従業員従業員従業員 300人以下 100人以下 50人以下 100人以下 300人以下

300

1.4. 検討の方法

5

3

表 1.4-1

表表表表 1.4-1 「「「「中小企業中小企業中小企業中小企業のののの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策対策対策対策にににに関関関関するするするする研究会研究会研究会研究会」」」」検討経緯検討経緯検討経緯検討経緯

研究会主な議題

第１回

（平成19年10月25日（木））

・研究会の開催趣旨の確認

・中小企業の情報セキュリティ対策に関する検討課題

・中小企業の情報セキュリティ対策確認手法に関する実態調査

- アンケート調査票の検討

第２回

（平成 20年 1月 9日（水））

・調査結果の検討

・中小企業における情報セキュリティ対策に関する要件の検討

第３回

（平成 20年 1月 31 日（水））

・中小企業における情報セキュリティ対策に関する要件の整理

・本年度報告書について

20

図 1.4-1

■中小企業におけるセキュリティ文化醸成

■しっかりと対策をしている中小企業の正当な評価

■規模の小ささがもたらすガバナンス確立の容易さ

■情報管理・人事管理の容易さ

■中小企業におけるセキュリティ文化醸成

■しっかりと対策をしている中小企業の正当な評価

■規模の小ささがもたらすガバナンス確立の容易さ

■情報管理・人事管理の容易さ

■情報セキュリティガバナンスの確立■安心して業務が委託できる環境の

構築による業務の効率化■サプライチェーンの互換性・柔軟性・

頑健性の確保■情報セキュリティの見える化・可視化

によるリスクマネジメントの向上

■情報セキュリティガバナンスの確立■安心して業務が委託できる環境の

構築による業務の効率化■サプライチェーンの互換性・柔軟性・

頑健性の確保■情報セキュリティの見える化・可視化

によるリスクマネジメントの向上

■中小企業のセキュリティ水準の底上げ

■モラルハザード防止■委託元からのセキュリティ対策実施

状況確認への対応コストの低減等■セキュリティ障害発生確率の低減■情報セキュリティ人材不足対策

■中小企業のセキュリティ水準の底上げ

■モラルハザード防止■委託元からのセキュリティ対策実施

状況確認への対応コストの低減等■セキュリティ障害発生確率の低減■情報セキュリティ人材不足対策

■委託先のセキュリティ対策実施状況の確認コスト低減

■委託先のセキュリティ対策実施状況の確認コスト低減

中小企業中小企業大企業大企業

弱み

をカ

バー

する

弱み

をカ

バー

する

強み

を伸

ばす

強み

を伸

ばす

指針・標準フォーマット等の策定・作成

社会全体の脆弱性の

低減

社会全体の脆弱性の

低減

産業競争力の向上

産業競争力の向上

要件の洗い出し

H19年度年度年度年度 H20年度年度年度年度

現状調査

法的検討

（公正競争等）

グローバルな競争環境

の側面からの検討

中小企業の情報セキュリティ対策の向上による

図図図図 1.4-1 「「「「中小企業中小企業中小企業中小企業のののの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策対策対策対策にににに関関関関するするするする研究会研究会研究会研究会」」」」のののの検討検討検討検討フレームワークフレームワークフレームワークフレームワーク

6

1.5. 実態調査の概要

1.5.1. 調査の全体像

表表表表 1.5-1 調査調査調査調査のののの目的目的目的目的とととと調査方法調査方法調査方法調査方法

調査方法調査の目的

アンケート調査・以下の項目について定量的な分析の実施

- 中小企業における情報セキュリティ対策の実態

- 中小企業における委託元からの情報セキュリティ要求の実態

- 大企業における委託先への情報セキュリティ要求の実態

ヒアリング調査・アンケート調査の設計（プレヒアリング）

・アンケート調査結果に関する定性的な補足分析を行う

（実態の精査、地域性の有無・業種/規模依存性等の確認）

文献調査・アンケート調査及びヒアリング調査の不足を補う

・アンケート調査及びヒアリング調査の裏づけ

1

2

7

(2) (2) (2) (2) 中小企業中小企業中小企業中小企業におけるにおけるにおけるにおける委託元委託元委託元委託元からのからのからのからの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ

要求事項要求事項要求事項要求事項にににに関関関関するするするする調査調査調査調査

(1)(1)(1)(1) 大企業大企業大企業大企業におけるにおけるにおけるにおける委託先委託先委託先委託先へのへのへのへの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ要求事項要求事項要求事項要求事項とととと

確認手法確認手法確認手法確認手法にににに関関関関するするするする調査調査調査調査

①①①①調査調査調査調査1111----1111 プレヒアリングプレヒアリングプレヒアリングプレヒアリング調査調査調査調査情報セキュリティ要求実態の概要

②②②②調査調査調査調査1111----2222 アンケートアンケートアンケートアンケート調査調査調査調査委託先のセキュリティ確認手法、

および課題

③③③③調査調査調査調査1111----3333 ヒアリングヒアリングヒアリングヒアリング調査調査調査調査求めるセキュリティレベルに応じた

具体的な要求事項

④④④④調査調査調査調査2222----1111 アンケートアンケートアンケートアンケート調査調査調査調査情報セキュリティ要求事項や課題

⑤⑤⑤⑤調査調査調査調査2222----2222 ヒアリングヒアリングヒアリングヒアリング調査調査調査調査情報セキュリティ要求に係わる課題、

および対策指針に対する要望

図図図図 1.5-1 調査調査調査調査のののの全体像全体像全体像全体像

1.5.2.アンケート調査

(1)

300

2,298 173 170 7.4%

2007 11 2008 1

(2)

300

4,058 428 403 9.9%

2007 11 2008 1

※ IPA

15 418

9 20

8

表表表表 1.5-2 日本日本日本日本におけるにおけるにおけるにおける全企業数全企業数全企業数全企業数とととと本調査本調査本調査本調査におけるにおけるにおけるにおけるアンケートアンケートアンケートアンケート調査対象調査対象調査対象調査対象のののの比較比較比較比較（（（（従業員規模従業員規模従業員規模従業員規模））））

－－－－－－－－－－－－8社（1.9%）－－－－不明

418社社社社

52社（12.4%）

44社（10.5%）

60社（14.4%）

81社（19.4%）

85社（20.3%）

60社（14.4%）

28社（6.7%）

中小企業向け

調査票回収数

1,518,216社社社社

29,464社（2.0%）

45,734社（3.0%）

136,944社（9.0%）

1,306,074社（86.0%）

<うち5人未満>

794,532社

全企業数

上場企業

中小企業数

有力未上場企業

中小企業数

2,382社社社社

260社

343社

313社

428社

520社

312社

206社

送付数内訳

1,676社社社社

194社

253社

291社

306社

324社

210社

98社

4,058社社社社

454社

596社

604社

734社

844社

522社

304社

送付数

（（（（合計合計合計合計））））

251人～300人

201人～250人未満

151人～200人未満

101人～150人未満

51人～100人未満

21人～50人未満

20人以下

－－－－－－－－－－－－8社（1.9%）－－－－不明

418社社社社

52社（12.4%）

44社（10.5%）

60社（14.4%）

81社（19.4%）

85社（20.3%）

60社（14.4%）

28社（6.7%）

中小企業向け

調査票回収数

1,518,216社社社社

29,464社（2.0%）

45,734社（3.0%）

136,944社（9.0%）

1,306,074社（86.0%）

<うち5人未満>

794,532社

全企業数

上場企業

中小企業数


中小企業数

2,382社社社社

260社

343社

313社

428社

520社

312社

206社

送付数内訳

1,676社社社社

194社

253社

291社

306社

324社

210社

98社

4,058社社社社

454社

596社

604社

734社

844社

522社

304社

送付数


251人～300人

201人～250人未満

151人～200人未満

101人～150人未満

51人～100人未満

21人～50人未満

20人以下

出典：（全企業数）総務省「事業所・企業統計調査」（平成 16 年度）

（送付数）東洋経済新報社「会社四季報未上場会社版」、「会社四季報 2007 年 4 集秋号」（2007 年 9 月）

表表表表 1.5-3 日本日本日本日本におけるにおけるにおけるにおける全企業数全企業数全企業数全企業数とととと本調査本調査本調査本調査におけるにおけるにおけるにおけるアンケートアンケートアンケートアンケート調査対象調査対象調査対象調査対象のののの比較比較比較比較（（（（業種業種業種業種））））

－－－－－－－－－－－－11社（2.6%）－－－－不明

0社36社36社1社（0.2%）90,158社（5.9%）飲食店、宿泊業

0社0社0社1社（0.2%）10,078社（0.7%）医療、福祉

53社101社154社16社（3.8%）16,170社（1.1%）金融・保険業

112社87社199社14社（3.3%）97,227社（6.4%）不動産業

0社6社6社1社（0.2%）11,671社（0.8%）教育、学習支援業

611社820社1,431社139社（33.3%）266,088社（17.5%）製造業

4社7社11社0社（0.0%）480社（0.0%）電気・ガス・熱供給・水道業

211社401社612社60社（14.4%）28,612社（1.9%）情報通信業

45社56社101社7社（1.7%）45,545社（3.0%）運輸業

356社515社871社72社（17.2%）450,868社（29.7%）卸売・小売業

418社社社社

77社（18.4%）

18社（4.3%）

1社（0.2%）

中小企業向け

調査票回収数

1,518,216社社社社

206,548社（13.6%）

283,248社（18.7%）

11,523社（0.8%）

全企業数

上場企業

中小企業数


中小企業数

2,382社社社社

167社

174社

12社

送付数内訳

1,676社社社社

209社

67社

8社

4,058社社社社

376社

241社

20社

送付数


その他のサービス

建設業

農林漁業・鉱業

－－－－－－－－－－－－11社（2.6%）－－－－不明

0社36社36社1社（0.2%）90,158社（5.9%）飲食店、宿泊業

0社0社0社1社（0.2%）10,078社（0.7%）医療、福祉

53社101社154社16社（3.8%）16,170社（1.1%）金融・保険業

112社87社199社14社（3.3%）97,227社（6.4%）不動産業

0社6社6社1社（0.2%）11,671社（0.8%）教育、学習支援業

611社820社1,431社139社（33.3%）266,088社（17.5%）製造業

4社7社11社0社（0.0%）480社（0.0%）電気・ガス・熱供給・水道業

211社401社612社60社（14.4%）28,612社（1.9%）情報通信業

45社56社101社7社（1.7%）45,545社（3.0%）運輸業

356社515社871社72社（17.2%）450,868社（29.7%）卸売・小売業

418社社社社

77社（18.4%）

18社（4.3%）

1社（0.2%）

中小企業向け

調査票回収数

1,518,216社社社社

206,548社（13.6%）

283,248社（18.7%）

11,523社（0.8%）

全企業数

上場企業

中小企業数


中小企業数

2,382社社社社

167社

174社

12社

送付数内訳

1,676社社社社

209社

67社

8社

4,058社社社社

376社

241社

20社

送付数


その他のサービス

建設業


出典：（全企業数）総務省「事業所・企業統計調査」（平成 16 年度）

（送付数）東洋経済新報社「会社四季報未上場会社版」、「会社四季報 2007 年 4 集秋号」（2007 年 9 月）

9

1.5.3.ヒアリング調査

(1)大企業対象

6

2 3 1

(2)中小企業対象

5 10 50

1 100

※

1.5.4.文献調査

経済産業省「情報処理実態調査」

経済産業省・JIPDEC「経済産業分野の事業者における個人情報の保護に関する取組み実

態調査」

総務省「通信利用動向調査」

総務省「事業所・企業統計調査」

委託先への情報セキュリティ要求事項を公表している企業が公開する情報（HP）

等

10

2.調査結果のまとめ

2.1.アンケート調査結果

(1)

4

5,000

(2)

2/3

2/3

4

(3)

11

20 IT

(4)

ISMS

2.2.ヒアリング調査結果

(1)大企業対象ヒアリング調査結果

12

(2)中小企業対象ヒアリング調査結果

IT

- IT

- P

-

(3)

1

IT

IT

13

14

3.アンケート調査結果詳細

3.1.大企業向け調査結果

3.1.1. 委託業務の実態

(1)取引先（業務委託元）の状況（Q1）

5 19.4% 2 100 25.9%

2

5,000 1/4 1,000

991

19.4

28.6

22.4

5.3

28.6

33.3

5.9

7.1

8.8

7.1

13.4

19.0

7.1

15.9

19.4

5.3

14.3

33.3

29.4

8.2

14.3

6.0

15.8

0.0

11.8

14.3

18.8

9.0

57.9

14.3

4.8

41.2

42.9

7.1

7.1

9.0

10.5

14.3

5.9

0.0

21.8

42.9

20.9

5.3

28.6

9.5

5.9

28.6

0.0

0.0

0.0

0.0

0.0

0.0

0.0

0.0

0% 20% 40% 60% 80% 100%

全体（N=170）

建設業（N=14）

製造業（N=67）

情報通信業（N=19）

運輸業（N=7）

卸売・小売業（N=21）

金融・保険業（N=17）

その他のサービス業（N=14）

5社未満 5～9社 10～49社 50～99社 100～999社 1,000社以上無回答

Ｎ＝

５以上の業種

図図図図 3.1-1 取引先取引先取引先取引先（（（（業務受託先業務受託先業務受託先業務受託先））））のののの状況状況状況状況

(2)委託業務の内容（Q2）

80.6% 52.4%

90.0%

54.0% 80.6%

64.2% 40.3%

15

80.6

37.6

33.5

29.4

16.5

4.7

4.7

52.4

0% 20% 40% 60% 80% 100%

情報処理業務（情報処理、システム開発）

生産等業務（製造（生産・購買等）、建設、機器点検・保守）

事務・管理業務（人事管理、教育訓練・研修、福利厚生、経理、その他事務管理）

物流業務

フロントオフィス業務（営業・販売、広告・マーケティング・調査、対個人サービス、施設管理、コールセ

研究開発・設計

その他の業務

無回答

（N=170）

図図図図 3.1-2 委託業務委託業務委託業務委託業務のののの内容内容内容内容

(3)取引先（業務委託先）件数の変化（Q3）

30%

5.9%

2.4 28.8 48.2 4.1

1.8

14.7

0% 20% 40% 60% 80% 100%

大きく増加（20%以上増加）やや増加（20%未満増加）ほぼ変化無し（数%の増減）

やや減少（20%未満減少）大きく減少（20%以上減少）無回答

(N=170)

図図図図 3.1-3 取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））件数件数件数件数のののの変化変化変化変化

(4)取引先（業務委託先）企業の属性（Q4）

50% 3

5,000

5% 6

16

12.9

62.4 4.1

2.9 5.9 7.1 32.9 21.2

14.1

10.6

16.5

2.9

0.6

3.5

0.0 0.0 0.6 1.8

0% 20% 40% 60% 80% 100%

中小企業の割合

海外企業の割合

5%未満 5%～10%未満 10%～20%未満 20%～30%未満 30%～40%未満

40%～50%未満 50%以上把握していない無回答

（N=170）

図図図図 3.1-4 取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））企業企業企業企業のののの属性属性属性属性

28.6

42.1

11.8

35.7

23.8

57.1

38.8

0% 20% 40% 60%

建設業(N=14)

製造業(N=67)

情報通信業(N=19)

運輸業(N=7)

卸売・小売業(N=21)

金融・保険業(N=17)

その他のサービス業(N=14)

図図図図 3.1-5 取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））のののの 50%以上以上以上以上がががが中小企業中小企業中小企業中小企業としたとしたとしたとした企業企業企業企業

（（（（N=5N=5N=5N=5 以上以上以上以上のののの業種別業種別業種別業種別））））

3.1.2.委託先の情報セキュリティ対策に関する要求実態

(1)取引先（業務取引先）の情報セキュリティ対策状況の確認有無（Q5）

94.7% 88.2% 85.7%

1,000

定められた手順によって確認している, 55.9%

定められた手順によって確認してい

ない,42.4%

無回答,1.8%

(N=170)

図図図図 3.1-6 取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））のののの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策状況対策状況対策状況対策状況のののの確認有無確認有無確認有無確認有無

17

35.7

37.3

94.7

71.4

38.1

88.2

85.7

57.1

61.2

5.3

28.6

61.9

11.8

14.3

7.1

1.5

0.0

0.0

0.0

0.0

0.0

0% 20% 40% 60% 80% 100%

建設業（N=14）

製造業（N=67）


運輸業（N=7）




定められた手順によって確認している定められた手順によって確認していない無回答

図図図図 3.1-7 取引先取引先取引先取引先（（（（業務委業務委業務委業務委託先託先託先託先））））のののの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策状況対策状況対策状況対策状況のののの確認有無確認有無確認有無確認有無（（（（業種別業種別業種別業種別））））

46.3

65.5

65.5

65.4

51.2

31.0

34.5

34.6

2.4

3.4

0.0

0.0

0% 20% 40% 60% 80% 100%

1,000人未満（N=82）

1,000～2,000人未満（N=29）

2,000～5,000人未満（N=29）

5,000人以上（N=26）

定められた手順によって確認している定められた手順によって確認していない無回答

図図図図 3.1-8 取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））のののの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策状況対策状況対策状況対策状況のののの確認有無確認有無確認有無確認有無（（（（従業員規模別従業員規模別従業員規模別従業員規模別））））

(2)確認対象となる取引先（業務委託先）（Q6）

66.3% 43.2%

72.0% 50.0%

40.0%

44.8%

5,000

18

66.3

25.3

26.3

9.5

30.5

2.1

1.1

43.2

0% 20% 40% 60% 80%

個人情報を含む業務の取引先

重要な技術情報、営業秘密情報等を含む業務の取引先

貴社独自のノウハウを共有・提供する業務の取引先

内部統制に関わる重要な業務の取引先

取引高の大きな取引先

業務内容に関わらず全ての取引先が対象

その他

無回答

（N=95）

図図図図 3.1-9 確認対象確認対象確認対象確認対象となるとなるとなるとなる取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））

(3)要求事項の整理（Q7）

57.9%

57.9

31.6

3.2

0.0

45.3

0% 20% 40% 60% 80%

取引先に共通する要求事項

プライバシーマーク、ISMS等、各種認証・制度に準じた要求事項

取引先毎に個別の要求事項

その他

無回答

（N=95）

図図図図 3.1-10 情報情報情報情報セキュリティセキュリティセキュリティセキュリティにににに関関関関するするするする要求事項要求事項要求事項要求事項のののの整理整理整理整理

(4)確認方法（Q8）

74.7%

19

74.7

20.0

15.8

6.3

2.1

6.3

7.4

1.1

21.1

0% 20% 40% 60% 80%

チェックシート等による対策状況の確認

経営者の署名入りの確認書の提示

各種認証・制度の取得証明書の提示

内部監査人等による監査

監査法人が作成した報告書の確認

情報セキュリティ対策ベンチマーク（IPA）による確認

指針等の提示のみで確認は実施しない

その他

無回答

（N=95）

図図図図 3.1-11 情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策状況対策状況対策状況対策状況のののの確認方法確認方法確認方法確認方法

(5)取引先（業務委託先）のレベル分け（Q11）

36.8%

7

5

3

無回答,0.0%

レベル分けを実施していない, 63.2%

レベル分けを実施している,

36.8%

(N=95)

図図図図 3.1-12 取引先取引先取引先取引先ののののレベルレベルレベルレベル分分分分けけけけ

71.4 22.9 5.7

0% 20% 40% 60% 80% 100%

委託業務の区別を実施している

委託業務の区別を実施していない

無回答

(N=35)

図図図図 3.1-13 レベルレベルレベルレベル毎毎毎毎のののの委託業務委託業務委託業務委託業務のののの区別区別区別区別

20

45.7 28.6 5.7 11.42.95.7

0% 20% 40% 60% 80% 100%

当該委託業務に関する取引の停止セキュリティに関する研修の実施セキュリティに関するコンサルティングの実施その他特に対応は実施しない無回答

(N=35)

図図図図 3.1-14 レベルレベルレベルレベルにににに満満満満たないたないたないたない取引先取引先取引先取引先へのへのへのへの対応対応対応対応

(6)取引先（業務委託先）に対する要求事項（Q12）

84.2% 5,000

84.2

55.8

61.1

54.7

54.7

9.5

1.1

1.1

68.4

0% 20% 40% 60% 80% 100%

情報セキュリティに対する組織的な取り組み状況（情報管理体制、従業員との契約条件、従業員教

物理的（環境的）セキュリティ対策

情報システムの開発、保守、アクセス制御

再委託先管理

通信ネットワーク及び情報システムの運用管理

情報セキュリティ上の事故対応状況

事業継続管理

その他

無回答

（N=95）

図図図図 3.1-15 取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））にににに対対対対するするするする要求事項要求事項要求事項要求事項

(7)取引先（業務委託先）の情報セキュリティ対策状況確認コストの負担（Q13）

58.9%

21

1.1 12.6 20.058.9 7.4

0% 20% 40% 60% 80% 100%

取引金額に上乗せしている取引先（業務委託先）に負担させている自社（貴社）で負担しているその他無回答

(N=95）

図図図図 3.1-16 取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））のののの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策状況確認対策状況確認対策状況確認対策状況確認コストコストコストコストのののの負担負担負担負担

(8)再委託先の管理（Q14）

38.8%

66.6%

16.4%

5,000

65.4% 7.7%

7.1 38.8 17.1 4.122.4 10.6

0% 20% 40% 60% 80% 100%

自社（貴社）が、直接状況確認を行っている取引先（業務委託先）に、自社（貴社）の基準に準じた管理をさせている再委託先の管理は取引先（業務委託先）基準に任せている契約時、再委託は認めていない確認していない無回答

(N=170)

図図図図 3.1-17 取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））のののの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策状況確認対策状況確認対策状況確認対策状況確認コストコストコストコストのののの負担負担負担負担

3.1.3.委託先の情報セキュリティ対策確認に関する課題

(1)取引先（業務委託先）のトラブルによるビジネスへの影響（Q15）

7

22

11.8

6.5

2.4

1.8

5.9

71.2

2.9

8.8

0% 20% 40% 60% 80% 100%

委託している個人情報や機密情報の漏洩・流出（電子媒体によるもの）

委託している個人情報や機密情報の漏洩・流出（非電子媒体によるもの）

システムの誤動作、誤作動

ウイルス感染や不正アクセス等によるシステムダウン

自然災害等によるシステムダウン

その他

特にトラブルは発生していない

無回答

（N=170）

図図図図 3.1-18 取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））ののののトラブルトラブルトラブルトラブルによるによるによるによるビジネスビジネスビジネスビジネスへのへのへのへの影響影響影響影響

29.4

17.6

11.8

35.3

5.9

41.2

0% 20% 40% 60%

委託している個人情報や機密情報の漏洩・流出（電子媒体によるもの）

委託している個人情報や機密情報の漏洩・流出（非電子媒体によるもの）


その他


無回答

（N=17）

図図図図 3.1-19 取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））ののののトラブルトラブルトラブルトラブルによるによるによるによるビジネスビジネスビジネスビジネスへのへのへのへの影響影響影響影響（（（（金融業金融業金融業金融業））））

(2)取引先（業務委託先）のトラブルをモニタリングする仕組み（Q16）

2

4

22.4 76.5 2.9

0% 20% 40% 60% 80% 100%

モニタリングする仕組みがあるモニタリングする仕組みはない無回答

(N=170）

図図図図 3.1-20 取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））ののののトラブルトラブルトラブルトラブルををををモニタリングモニタリングモニタリングモニタリングするするするする仕組仕組仕組仕組みみみみ

23

(3)取引先（業務委託先）の対策確認における問題点（Q17）

55.3%

5,000

55.3

25.9

20.0

14.1

3.5

2.4

18.2

4.1

27.1

0% 20% 40% 60% 80%

書面での確認が可能でも、取引先の対策実態がわからない

取引先・業務によって要求事項が異なり、確認が困難となっている

対策確認のためのコストが増大している

取引先に求める情報セキュリティ対策項目とレベルがわからない

取引先のセキュリティトラブルによって発生した際の対応と責任が曖昧になっている

既存の制度・仕組みでは、委託不可能な取引先が発生している

その他

特に課題はない

無回答

（N=170）

図図図図 3.1-21 取引先取引先取引先取引先（（（（業務業務業務業務委託先委託先委託先委託先））））のののの対策確認対策確認対策確認対策確認におけるにおけるにおけるにおける問題点問題点問題点問題点

(4)取引先（業務委託先）の対策確認に有効な方法（Q18）

51.2% ISMS 43.5%

ISMS

51.2

36.5

35.3

35.3

12.9

10.6

2.9

4.7

43.5

0% 20% 40% 60%

セキュリティレベルを証明・確認するチェックリスト

ISMS

情報セキュリティ監査

情報セキュリティ対策実施状況確認のための標準フォーマット

プライバシーマーク

情報セキュリティ格付

情報セキュリティ対策ベンチマーク

その他

無回答

（N=170）

図図図図 3.1-22 取引先取引先取引先取引先（（（（業務委託先業務委託先業務委託先業務委託先））））のののの対策確認対策確認対策確認対策確認にににに有効有効有効有効なななな方法方法方法方法

24

3.2.中小企業向け調査結果

3.2.1.受託業務の実態

(1)取引先（業務委託元）の状況（Q1）

46.4 9.8 11.7 2.6 7.44.8 13.2 4.1

0% 20% 40% 60% 80% 100%

0社 5社未満 5～9社 10～49社

50～99社 100～999社 1,000社以上無回答

(N=418)

図図図図 3.2-1 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））のののの状況状況状況状況

22.2

16.2

12.5

16.7

39.1

60.0

9.1

0.0

13.2

6.3

16.7

13.0

0.0

7.3

0.0

17.6

52.1

0.0

8.7

20.0

25.5

22.2

5.9

6.3

16.7

0.0

0.0

12.7

44.4

26.5

14.6

16.7

13.0

20.0

23.6

11.1

4.4

0.0

16.7

8.7

0.0

7.3

0.0

16.2

8.3

16.7

17.4

0.0

14.5

0% 20% 40% 60% 80% 100%

建設業（N=9）

製造業（N=68）


運輸業（N=6)


金融・保険業（N=5)


5社未満 5～9社 10～49社 50～99社 100～999社 1,000社以上無回答

図図図図 3.2-2 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））のののの状況状況状況状況（（（（業種業種業種業種別別別別））））＜＜＜＜取引先取引先取引先取引先をををを有有有有するするするする企業企業企業企業のみのみのみのみ＞＞＞＞

25

37.5

16.7

19.6

20.5

17.9

11.1

11.1

12.5

5.6

7.8

9.1

7.1

5.6

18.5

12.5

41.7

31.4

29.5

7.1

16.7

11.1

12.5

11.1

3.9

4.5

10.7

5.6

11.1

6.3

11.1

17.6

22.7

39.3

33.3

29.6

0.0

2.8

5.9

6.8

3.6

5.6

3.7

14.3

22.2

14.8

6.8

13.7

11.1

18.8

0% 20% 40% 60% 80% 100%

20人未満（N=16)

20～50人未満（N=36）

50～100人未満（N=51）

100～150人未満（N=44)

150～200人未満（N=28)

200～250人未満（N=18)

250人以上（N=27)

5社未満 5～9社 10～49社 50～99社 100～999社 1,000社以上無回答

図図図図 3.2-3 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））のののの状況状況状況状況（（（（従業員規模別従業員規模別従業員規模別従業員規模別））））＜＜＜＜取引先取引先取引先取引先をををを有有有有するするするする企業企業企業企業のみのみのみのみ＞＞＞＞

(2)取引先（業務委託元）からの受託業務範囲（Q2）

46.0%

72.1% 77.8%

46.0

17.8

15.8

13.4

11.9

8.9

5.0

37.6

0% 10% 20% 30% 40% 50%

情報処理業務（情報処理、システム開発）

生産等業務（製造（生産・購買等）、建設、機器点検・保守）

事務・管理業務（人事管理、教育訓練・研修、福利厚生、経理、その他事務管理）

フロントオフィス業務（営業・販売、広告・マーケティング・調査、対個人サービス、施設管理、コールセ

物流業務

研究開発・設計

その他の業務

無回答

（N=224）

図図図図 3.2-4 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からのからのからのからの受託業務範囲受託業務範囲受託業務範囲受託業務範囲＜＜＜＜取引先取引先取引先取引先をををを有有有有するするするする企業企業企業企業のみのみのみのみ＞＞＞＞

(3)取引先（業務委託元）から委託されている重要な情報（Q3）

47.3%

67.6%

26

54.4%

47.1%

36.9% 39.0%

27.1%

21.4

21.9

32.6

9.4

33.9

22.3

6.7

9.8

6.2

36.9

7.7

18.5

2.6

14.9

5.1

5.6

2.6

47.3

0% 10% 20% 30% 40% 50%

取引先の従業員に関する個人情報

取引先の顧客に関する個人情報

取引先の経営に関わる情報

製造方法、部品等に関する技術情報

金型、生産設備等に関する技術情報

最終製品に関する情報

ビジネスに関わるノウハウ等

その他

重要な情報は委託されていない

無回答

取引先から委託されている重要な情報（N=224）最も厳密な管理を求められる重要情報（N=195）

図図図図 3.2-5 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からのからのからのからの委託委託委託委託されているされているされているされている重要重要重要重要なななな情報情報情報情報

＜＜＜＜取引先取引先取引先取引先をををを有有有有するするするする企業企業企業企業のみのみのみのみ＞＞＞＞

3.2.2.受託業務の実態

(1)取引先（業務委託元）からの情報セキュリティ対策に関する要求実態（Q4）

2/3

84.3%

20 5

5 7

無回答,8.9%

確認を受けたことがない,27.7%

確認を受けたことがある,63.4%

(N=224)

図図図図 3.2-6 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からのからのからのからの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策状況対策状況対策状況対策状況のののの確認有無確認有無確認有無確認有無

27

0.0

33.3

47.1

87.5

66.7

39.1

80.0

0.0

81.8

100.0

55.6

38.2

12.5

33.3

52.2

20.0

50.0

10.9

0.0

11.1

14.7

0.0

8.7

0.0

50.0

7.3

0.0

0% 20% 40% 60% 80% 100%

農林漁業・鉱業（N=1）

建設業（N=9）

製造業（N=68）


運輸業（N=6）


金融・保険業（N=5)

不動産業（N=4)

その他のサービス業（N=55)

確認を受けたことがある確認を受けたことがない無回答

図図図図 3.2-7 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からのからのからのからの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策状況対策状況対策状況対策状況のののの確認有無確認有無確認有無確認有無（（（（業種別業種別業種別業種別））））

50.0

75.0

66.7

56.8

57.1

61.1

70.4

43.8

25.0

25.5

31.8

21.4

33.3

25.9

6.3

0.0

7.8

21.4

5.6

3.7

11.4

0% 20% 40% 60% 80% 100%

20人未満（N=16）

20～50人未満（N=36）

50～100人未満（N=51）

100～150人未満（N=44）

150～200人未満（N=28）

200～250人未満（N=18）

250人以上（N=27）


図図図図 3.2-8 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からのからのからのからの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策状況対策状況対策状況対策状況のののの確認有無確認有無確認有無確認有無（（（（従業員規模別従業員規模別従業員規模別従業員規模別））））

28

77.0%

75.0%

61.0

53.2

77.0

61.3

57.7

75.0

47.4

29.3

40.3

22.0

32.3

34.6

18.8

31.6

9.8

6.5

1.0

6.5

7.7

6.3

21.1

0% 20% 40% 60% 80% 100%

事務・管理業務(N=41)

生産等業務(N=77)

情報処理業務(N=100)

物流業務(N=31)

研究開発・設計(N=26)

フロントオフィス業務(N=32)

その他の業務(N=19)


図図図図 3.2-9 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からのからのからのからの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策状況対策状況対策状況対策状況のののの確認有無確認有無確認有無確認有無（（（（受託業務受託業務受託業務受託業務別別別別））））

83.3%

67.1%

54.8% 38.1%

72.9

83.3

73.5

54.8

38.1

67.1

74.0

93.8

18.2

18.8

12.0

20.4

34.2

38.1

26.3

24.0

6.3

68.2

8.3

4.6

6.1

11.0

23.8

6.6

2.0

0.0

13.6

0% 20% 40% 60% 80% 100%

取引先の従業員に関する個人情報(N=48)

取引先の顧客に関する個人情報(N=108)

取引先の経営に関わる情報(N=49)

製造方法、部品等に関する技術情報(N=73)

金型、生産設備等に関する技術情報(N=21)

最終製品に関する情報(N=76)

ビジネスに関わるノウハウ等(N=50)

その他(N=16)

重要な情報は委託されていない(N=22)


図図図図 3.2-10 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からのからのからのからの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策状況対策状況対策状況対策状況のののの確認有無確認有無確認有無確認有無

（（（（委託委託委託委託をををを受受受受けているけているけているけている重要重要重要重要なななな情報情報情報情報別別別別））））

29

(2)取引先（業務委託元）からの情報セキュリティ対策確認件数の昨年度からの変化（Q5）

4

13.4 29.6 52.1 2.1

1.4 1.4

0% 20% 40% 60% 80% 100%

大きく増加（20%以上増加）やや増加（20%未満増加）ほぼ変化無し（数%の増減）

やや減少（20%未満減少）大きく減少（20%以上減少）無回答

(N=142)

図図図図 3.2-11 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からのからのからのからの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策対策対策対策確認確認確認確認件数件数件数件数のののの変化変化変化変化

＜＜＜＜確認確認確認確認をををを受受受受けたけたけたけた企業企業企業企業のみのみのみのみ＞＞＞＞

(3)取引先（業務委託元）からの情報セキュリティ対策の確認方法（Q6）

76.1% 80.2%

20 6

27.5

24.6

14.8

2.8

1.4

5.6

5.6

76.1

0% 20% 40% 60% 80%

チェックシート等による対策状況の確認

各種認証・制度の取得証明書の提示

経営者の署名入りの確認書の提示

内部監査人等による監査

情報セキュリティ対策ベンチマーク（IPA）による確認

監査法人が作成した報告書の確認

その他

無回答

(N=142)

図図図図 3.2-12 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からのからのからのからの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策確認方法対策確認方法対策確認方法対策確認方法


30

(4)情報セキュリティ対策に関する確認を行った業種（Q7）

47.9%

38.7%

6.338.7

2.8

47.91.4

9.911.3

3.5

0.76.34.9

18.35.6

0.0

0% 20% 40% 60%


建設業製造

電気・ガス・熱供給・水道業

情報通信業運輸業

卸売・小売業

金融・保険業不動産業

飲食店、宿泊業

医療、福祉教育、学習支援業

その他のサービス業

無回答

(N=142)

図図図図 3.2-13 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からのからのからのからの情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策確認対策確認対策確認対策確認をををを受受受受けたけたけたけた業種業種業種業種


3.2.3.情報セキュリティ対策実施状況

(1)実施している情報セキュリティ対策と、取引先（業務委託元）からの要求された項目（Q8）

69.2%

69.6

80.4

39.0

27.0

17.9

2.2

9.1

69.2

59.4

53.1

48.3

36.4

48.3

8.4

2.8

14.7

68.7

75.4

0% 20% 40% 60% 80% 100%

情報セキュリティに対する組織的な取り組み状況

物理的セキュリティ対策




再委託先管理

事業継続管理

その他

無回答

実施している対策（N=418）要求された項目（N=143）

図図図図 3.2-14 実施実施実施実施しているしているしているしている情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策対策対策対策とととと

取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からからからから要求要求要求要求されたされたされたされた情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策対策対策対策

31

90.1

87.3

59.2

57.0

28.9

4.2

4.2

69.7

59.9

53.5

48.6

36.6

48.6

8.5

2.8

14.1

86.6

78.2

0% 20% 40% 60% 80% 100%






再委託先管理

事業継続管理

その他

無回答

実施している対策(N=142) 要求された項目(N=142)

図図図図 3.23.23.23.2----15151515 実施実施実施実施しているしているしているしている情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策対策対策対策とととと

取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からからからから要求要求要求要求されたされたされたされた情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策対策対策対策

＜＜＜＜取引先取引先取引先取引先からからからから確認確認確認確認をををを受受受受けたけたけたけた企業企業企業企業のみのみのみのみ＞＞＞＞

38.5

35.0 34.5

32

90.1

87.3

59.2

57.0

28.9

4.2

4.2

51.6

59.7

74.2

59.7

24.2

22.6

12.9

0.0

12.9

78.2

86.6

0% 20% 40% 60% 80% 100%






再委託先管理

事業継続管理

その他

無回答

確認を受けたことがある企業（N=142) 確認を受けたことがない企業（N=62)

図図図図 3.2-16 実施実施実施実施ししししているているているている情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策対策対策対策

＜＜＜＜確認確認確認確認をををを受受受受けたことがあるけたことがあるけたことがあるけたことがある企業企業企業企業とないとないとないとない企業企業企業企業のののの比較比較比較比較＞＞＞＞

2

0.0 18.9 76.9 4.2

0% 20% 40% 60% 80% 100%

取引停止の経験がある追加対策を求められた経験がある

いずれもない無回答

(N=143)

図図図図 3.2-17 取引先取引先取引先取引先（（（（業務委託元業務委託元業務委託元業務委託元））））からのからのからのからの追加対策追加対策追加対策追加対策のののの要求有無要求有無要求有無要求有無

＜＜＜＜確認確認確認確認をををを受受受受けたけたけたけた企業企業企業企業＞＞＞＞

(2)再委託先の管理（Q9）

27.0%

43.1%

33

4.5 13.2 20.3 28.027.0 6.9

0% 20% 40% 60% 80% 100%

取引先（業務委託元）が、直接状況確認を行っている

自社（貴社）が、取引先（業務委託元）の基準に準じた管理をしている

自社（貴社）の基準により管理を行っている

契約時、再委託は認めていない

確認していない

無回答

(N=418)

図図図図 3.2-18 再委託先再委託先再委託先再委託先のののの管理状況管理状況管理状況管理状況

(3)取引先（業務委託先）におけるトラブルの実態（Q10）

9

1.0

3.3

1.7

1.2

74.2

18.2

0.2

1.4

0% 20% 40% 60% 80% 100%

受託している個人情報や機密情報の漏洩・流出（電子媒体によるもの）

受託している個人情報や機密情報の漏洩・流出（非電子媒体によるもの）


ウイルス感染や不正アクセス等によるシステムダウン

自然災害等によるシステムダウン

その他


無回答

（N=418）

図図図図 3.2-19 自社自社自社自社ののののトラブルトラブルトラブルトラブルによるによるによるによる取引先取引先取引先取引先へのへのへのへの影響影響影響影響

3.2.4.情報セキュリティ対策上の課題

(1)情報セキュリティ対策の問題点（Q16）

50.7%

48.6% 40.0%

35.6%

10.5%

34

50.7

40.0

24.2

21.5

21.3

10.5

0.5

7.7

1.9

35.6

48.6

0% 20% 40% 60%

投資対効果が見えづらい

どこまで対策すべきか不明

セキュリティ対策推進人材の不足

従業員の意識の低さ

セキュリティ対策予算の不足

内部統制、法対応等、市場からの要求への対応が困難

経営者の意識の低さ

取引先からの要求への対応が困難

その他

特になし

無回答

（N=418）

ｃ

図図図図 3.2-20 情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策上対策上対策上対策上のののの課題課題課題課題

5.6

20.0

4.2

6.3

0.0

11.7

12.9

0.0

0% 10% 20% 30%

建設業（N=18）

製造業（N=139）


運輸業（N=7）



不動産業（N=14）


図図図図 3.2-21 「「「「取引先取引先取引先取引先からのからのからのからの要求要求要求要求へのへのへのへの対応対応対応対応がががが困難困難困難困難」」」」としたとしたとしたとした企業企業企業企業（（（（業種別業種別業種別業種別））））

(2)取引先（業務委託元）からの要求対応が困難な理由（Q17）

45.5% 41.8%

35

45.5

25.5

10.9

9.1

41.8

1.8

0% 20% 40% 60%

委託元毎に要求が異なり、各社への対応が困難である

委託元の要求するレベルの対策を実施するためのコストが負担できない

委託元からのヒアリングや監査等への対応コストが負担となっている

セキュリティトラブルによって取引先に与えた損害対応が過大な負担になっている

その他

無回答

（N=55）

図図図図 3.2-22 取引先取引先取引先取引先からのからのからのからの要求対応要求対応要求対応要求対応がががが困難困難困難困難なななな理由理由理由理由

(3)取引先（業務委託元）に対する情報セキュリティに関わる対策説明時に有効な方法（Q18）

29.2% 26.3%

ISMS 20.8% 17.9%

29.2

20.8

11.5

6.2

5.5

2.4

35.6

26.3

17.9

0% 10% 20% 30% 40%



ISMS





その他

無回答

（N=418）

ｃ

図図図図 3.2-23 取引先取引先取引先取引先にににに対対対対するするするする対策説明対策説明対策説明対策説明としてとしてとしてとして有効有効有効有効なななな方法方法方法方法

36

ISMS

31.3%

27.8

11.1

22.2

22.2

27.3

23.0

6.5

9.4

12.9

16.5

6.5

38.3

23.3

1.7

13.3

48.3

51.7

1.7

28.6

28.6

14.3

28.6

14.3

28.6

14.3

20.8

13.9

4.2

9.7

6.9

18.1

5.6

6.3

6.3

12.5

31.3

6.3

25.0

6.3

0.0

7.1

0.0

0.0

21.4

28.6

0.0

44.4

16.7

11.1

0% 20% 40% 60% 80% 100%





ISMS



建設業(N=18) 製造業(N=139) 情報通信業(N=60)

運輸業(N=7) 卸売・小売業(N=72) 金融・保険業(N=16)

不動産業(N=14) その他のサービス業(N=77)


＜＜＜＜業種別業種別業種別業種別＞＞＞＞

37

36.6

39.0

46.3

9.8

42.9

28.6

7.8

10.4

23.4

7.8

41.0

16.0

6.0

17.0

45.0

54.0

1.0

29.0

29.0

6.5

19.4

19.4

38.7

6.5

30.8

3.8

0.0

30.8

26.9

19.2

15.6

15.6

6.3

15.6

31.3

59.4

12.5

36.8

21.1

5.3

5.3

36.8

47.4

15.8

17.1

24.4

7.3

20.8

19.2

0% 20% 40% 60% 80% 100%





ISMS



事務・管理業務(N=41) 生産等業務(N=77) 情報処理業務(N=100)

物流業務(N=31) 研究開発・設計(N=26) フロントオフィス業務(N=32)

その他の業務(N=19)


＜＜＜＜受託業務別受託業務別受託業務別受託業務別＞＞＞＞

38

37.5

45.8

58.3

10.4

32.4

21.3

5.6

17.6

51.9

6.5

36.7

18.4

10.2

24.5

51.0

57.1

6.1

49.3

26.0

9.6

15.1

27.4

24.7

6.8

33.3

9.5

14.3

9.5

19.0

9.5

43.4

25.0

6.6

14.5

25.0

28.9

9.2

26.0

24.0

10.0

24.0

44.0

46.0

6.0

16.7

10.4

4.2

39.8

38.1

0% 20% 40% 60% 80% 100%





ISMS



取引先の従業員に関する個人情報(N=48) 取引先の顧客に関する個人情報(N=108)

取引先の経営に関わる情報(N=49) 製造方法、部品等に関する技術情報(N=73)

金型、生産設備等に関する技術情報(N=21) 最終製品に関する情報(N=76)

ビジネスに関わるノウハウ等(N=50)


＜＜＜＜委託委託委託委託されているされているされているされている情報別情報別情報別情報別＞＞＞＞

39

3.2.5.IT 投資・情報セキュリティ投資の状況

(1)IT 投資額（Q13(1)）

IT 20

IT IT 20

0

1

2

3

4

5

6

7

8

0 50 100 150 200 250 300

F.2 従業員数

Q13(1

). IT

投資

額（カ

テゴ

リ）

IT投資額

移動平均（10区間）

多項式近似（3次）

1

10

100

1000

10000

100000

0 50 100 150 200 250 300

F.2 従業員数

Q13(1

). IT投

資額

（単

位万

円（推

計値

））

IT投資額



1. 投資なし2. 500万円未満3. 500万円～1,000万円未満4. 1,000万円～5,000万円未満5. 5,000万円～1億円未満6. 1億円～5億円未満7. 5億円～10億円未満8. 10億円～100億円未満9. 100億円以上

1. ⇒ 0万円2. ⇒ 250万円3. ⇒ 750万円4. ⇒ 3,000万円5. ⇒ 7,500万円6. ⇒ 3億円7. ⇒ 7.5億円8. ⇒ 55億円9. ⇒ NULL

左図

右図

図図図図 3.2-27 IT投資投資投資投資とととと従業従業従業従業員規模員規模員規模員規模のののの関係関係関係関係

(2)情報セキュリティ投資額（Q13(2)）

IT 100 150

0

1

2

3

4

5

6

7

8

9

10

0 50 100 150 200 250 300

F.2 従業員数

Q13

(2).

セキ

ュリ

ティ

投資

比率

（カテ

ゴリ

）

セキュリティ投資比率



0

5

10

15

20

25

30

35

0 50 100 150 200 250 300

F.2 従業員数

Q13

(2).

セキ

ュリ

ティ

投資

比率

（単位

% （

推計

値））

セキュリティ投資比率



1. 投資なし2. 1％未満3. 1～3％未満4. 3～5％未満5. 5～10％未満6. 10～20％未満7. 20～30％未満8. 30％以上

左図

1. ⇒ 0%2. ⇒ 0.5%3. ⇒ 2%4. ⇒ 4%5. ⇒ 7.5%6. ⇒ 15%7. ⇒ 25%8. ⇒ 30%

右図

図図図図 3.2-28 情報情報情報情報セキュリティセキュリティセキュリティセキュリティ投資投資投資投資とととと従業員規模従業員規模従業員規模従業員規模のののの関係関係関係関係

40

(3)情報セキュリティ対策に関する確認状況と投資の関係（Q4とのクロス）

IT

3.5

16.1

7.7

6.5

7.7

6.5

16.9

21.0

19.0

9.7

10.6

21.0

10.6

6.5

6.3 15.5

9.7

2.1

3.2

0.0

0% 20% 40% 60% 80% 100%

確認を受けたことがある企業（N=142)

確認を受けたことがない企業（N=62)

投資なし 1％未満 1～3％未満 3～5％未満 5～10％未満

10～20％未満 20～30％未満 30％以上わからない無回答

図図図図 3.2-29 IT投資額投資額投資額投資額にににに占占占占めるめるめるめるセキュリティセキュリティセキュリティセキュリティ投資比率投資比率投資比率投資比率

＜＜＜＜情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策状況対策状況対策状況対策状況のののの確認有無別確認有無別確認有無別確認有無別＞＞＞＞

19.7

59.7

23.9

9.7

16.9 12.7

8.1

1.4

3.2

24.6

19.4

0.0 0.0

0.7

0% 20% 40% 60% 80% 100%



0円 50万円未満 50万～100万円未満

100万～500万円未満 500万～1,000万円未満 1,000万円以上

無回答

図図図図 3.2-30 情報情報情報情報セキュリティセキュリティセキュリティセキュリティ関連教育費用関連教育費用関連教育費用関連教育費用


23.2

46.8

11.3

16.1

7.7

4.8

28.9

6.5

4.2

3.2

23.2

22.6

1.4

0.0

0% 20% 40% 60% 80% 100%



0円 50万円未満 50万～100万円未満

100万～500万円未満 500万～1,000万円未満 1,000万円以上

無回答

図図図図 3.2-31 情報情報情報情報セキュリティセキュリティセキュリティセキュリティ関連関連関連関連認証取得認証取得認証取得認証取得････更新更新更新更新費用費用費用費用


41

4.ヒアリング調査結果詳細

4.1.大企業向けヒアリング調査結果

6 2 3 1

(1)取引先管理の状況

A B C

1

AA

ISMS

42

(2)中小企業との取引・管理状況

1

(3)情報管理の状況

SE

(4)標準フォーマットの適用について

PDCA PDCA

43

ISMS

JISQ27001

JISQ27001

SCM

4.2.中小企業向けヒアリング調査結果

5 10 50

1 100 6

表 4.2-1

44

表表表表 4.24.24.24.2----1111 ヒアリングヒアリングヒアリングヒアリング対象中小企業対象中小企業対象中小企業対象中小企業のののの概要概要概要概要

IT

A PC

B

PC

7

C

CAD PC

PC

CAD

1

D 1 1 PC

HP

E

( )

1 1 PC

1

PC

( )

1 1 PC

PC

※ IT

(1)業務と ITの関係

C

1 HP

D

FAX PC

/

FAX IT

E

E

PC

(2)情報化の状況について

HP

A

45

B

PC CAD

ISO14001

LAN

Win95 C

PC C

D

IT IT

E

10

(3)情報セキュリティ対策について

PC

A

ISO

B

IT

B

ISDN

ID PW

C

D

Winny E

IT

E

46

(4)保有する重要な情報

A

3-4 PC

A

B

C

1,000

D

DB E

E

(5)情報管理について

A

A

B

C

4 5

10 C

C

PC

47

MO D

PC PW

E

E

P

P

10 1

(6)取引先や顧客からの要求について

A

ISO B

C

D

E

30 40

P

1,000

(7)再委託先管理について

C

48

(8)IT に関わる情報収集について

IT A

IT B

IT

C

ML

D

D

(9)地方の特性について

D

E

49

5. 中小企業の情報セキュリティ対策に関する要件

5.1.中小企業の情報セキュリティ対策に関する考え方

1 300

・

・

・

図 5.1-1

企業分類企業分類

管理項目管理項目

アンケート調査ヒアリング調査既存ガイドライン

既存チェックシート

分類１分類１

分類２分類２

分類３分類３

分類４分類４




図図図図 5.1-1 情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策対策対策対策にににに関関関関するするするする考考考考ええええ方方方方

5.2.中小企業の情報セキュリティ対策に関する要件

5.2.1. 情報セキュリティの観点から見た中小企業の分類

50

図 3.2-7 図 3.2-13

IT

IT

20 IT

図 3.2-27 20

IT PC

2/3

図 3.2-6

図 3.2-21

図 5.2-1

取引先の営業秘密や個人情報を取り扱うか

取引先の営業秘密や個人情報を取り扱うか

X.取引先の重要情報を取り扱う企業


Yes

企業競争力を左右する情報や機微情報を持つか※

企業競争力を左右する情報や機微情報を持つか※

A.自社のリスクとして情報管理を行う必要のある企業

A.自社のリスクとして情報管理を行う必要のある企業Yes

IT依存度が高いかIT依存度が高いかYes

継続的IT投資をしている継続的IT投資をしている

No

B.組織的な情報セキュリティ

対策が必要な企業

B.組織的な情報セキュリティ対策が必要な企業Yes

No

C.端末ベースの情報セキュリティ対策が必要な企業

C.端末ベースの情報セキュリティ対策が必要な企業

No

※ここでの「情報」は電子的な情報には限定されず、紙情報やノウハウなども含む

注）事業内容によって、複数の分類にまたがる企業もある

図図図図 5.2-1 情報情報情報情報セキュリティセキュリティセキュリティセキュリティのののの観点観点観点観点からのからのからのからの中小企業中小企業中小企業中小企業のののの分類分類分類分類

IT A.

IT

A

A IT B.

A

B

51

A B C.

A B C

X.

2/3

A X

X

図 5.2-2



A.自社のリスクとして情

報管理を行う必要のある企業

A.自社のリスクとして情

報管理を行う必要のある企業

B.組織的な情報セキュ

リティ対策が必要な企業

B.組織的な情報セキュ

リティ対策が必要な企業

C.端末ベースの情報セキュリティ対策が必要な

企業


企業

主な業種主な業種規模規模所持する主な重要情報所持する主な重要情報

情報通信、金融保険、サービス、製造

情報通信、金融保険、サービス、製造

情報通信、金融保険、サービス、製造が主

情報通信、金融保険、サービス、製造が主

A群に分類されない企業

（業種に依存せず）

A群に分類されない企業

（業種に依存せず）

A・B群に分類されない企業（業種に依存せず）

A・B群に分類されない企業（業種に依存せず）

規模は無関係規模は無関係

100名～300名（IT化の進んだ社業）

100名～300名（IT化の進んだ社業）

20名～100名

（社業）

20名～100名

（社業）

1名～20名（家業）

1名～20名（家業）

個人情報・知財情報・製造方法・製品情報等（営業秘密）

個人情報・知財情報・製造方法・製品情報等（営業秘密）

個人情報・知財情報・会計情報・在庫物流情報・法務情報・

マーケティング情報・受発注情報

個人情報・知財情報・会計情報・在庫物流情報・法務情報・

マーケティング情報・受発注情報

個人情報（人事）・在庫物流情報・受発注情報・会計情報

個人情報（人事）・在庫物流情報・受発注情報・会計情報

受発注情報（電子メール）・会計情報（表計算ソフト）

受発注情報（電子メール）・会計情報（表計算ソフト）

図図図図 5.2-2 企業分類毎企業分類毎企業分類毎企業分類毎のののの典型的典型的典型的典型的なななな企業企業企業企業イメージイメージイメージイメージ

5.2.2. 情報セキュリティ対策に関する要件

X

52

PDCA

IT

A

A

PDCA IT

A

B C

PDCA

B C PDCA

B C

図 5.2-3

53

1

X.取引先の重要情報

を取り扱う企業

X.取引先の重要情報

を取り扱う企業

A.自社のリスクとして

情報管理を行う必要のある企業



B.組織的な情報セ

キュリティ対策が必要な企業

B.組織的な情報セ

キュリティ対策が必要な企業

C.端末ベースの情報

セキュリティ対策が必要な企業

C.端末ベースの情報

セキュリティ対策が必要な企業

■対策目的：委託業務における適切な情報管理■リスク：委託元が情報管理において認識するリスク■対策水準：委託元と同等の水準（中小企業か否かとは無関係）■PDCA：本質ではない■ITに関する事業継続：不要

■その他：個人情報保護法、不正競争防止法への対応

■対策目的：委託業務における適切な情報管理■リスク：委託元が情報管理において認識するリスク■対策水準：委託元と同等の水準（中小企業か否かとは無関係）■PDCA：本質ではない■ITに関する事業継続：不要■その他：個人情報保護法、不正競争防止法への対応

■対策目的：業務の適切な遂行、社会的責任■リスク：それぞれの企業におけるリスク（高い）■対策水準：リスクに見合った適切な情報セキュリティ対策の実施（高水準：大企業と同等）■PDCA：重要■ITに関する事業継続：重要

■その他：内部統制・競争力（差別化要因）

■対策目的：業務の適切な遂行、社会的責任■リスク：それぞれの企業におけるリスク（高い）■対策水準：リスクに見合った適切な情報セキュリティ対策の実施（高水準：大企業と同等）■PDCA：重要■ITに関する事業継続：重要

■その他：内部統制・競争力（差別化要因）

■対策目的：業務の適切な遂行、最低限の責務■リスク：それぞれの企業におけるリスク（中程度）■対策水準：リスクに見合った適切な情報セキュリティ対策の実施（中水準）■PDCA：最低限■ITに関する事業継続：不要（IT依存度が低いため）

■その他：－

■対策目的：業務の適切な遂行、最低限の責務■リスク：それぞれの企業におけるリスク（中程度）■対策水準：リスクに見合った適切な情報セキュリティ対策の実施（中水準）■PDCA：最低限■ITに関する事業継続：不要（IT依存度が低いため）

■その他：－

■対策目的：業務の適切な遂行、最低限の責務（マナー）■リスク：それぞれの企業におけるリスク（低い）■対策水準：リスクに見合った適切な情報セキュリティ対策の実施（低水準）■PDCA：不要（必要に応じて実施）■ITに関する事業継続：不要（IT依存度が低いため）

■その他：－

■対策目的：業務の適切な遂行、最低限の責務（マナー）■リスク：それぞれの企業におけるリスク（低い）■対策水準：リスクに見合った適切な情報セキュリティ対策の実施（低水準）■PDCA：不要（必要に応じて実施）■ITに関する事業継続：不要（IT依存度が低いため）

■その他：－

※「ITに関する事業継続」とは、ITの停止等が事業継続に与える影響を最小にするためのマネジメント等をいう

図図図図 5.2-3 情報情報情報情報セキュリティセキュリティセキュリティセキュリティ対策対策対策対策にににに関関関関するするするする要件要件要件要件

5.2.3. 情報セキュリティ上の管理策

JIS Q 27001 1)

2) 3) 4) 5) 6)

7) 7 図 5.2-4

54

組織的取り組み組織的取り組み物理的対策

物理的対策運用管理運用管理

開発保守

アクセス制御

開発保守

アクセス制御事故対応事故対応再委託先

管理

再委託先管理事業継続性事業継続性

A.5 セキュリティ基本方針

A.5.1 情報セキュリティ基本方針

A.6 情報セキュリティのための組織

A.6.1 内部組織

A.6.2 外部組織

A.7 資産の管理

A.7.1 資産に対する責任

A.7.2 情報の分類

A.8 人的資源のセキュリティ

A.8.1 雇用前

A.8.2 雇用期間中

A.8.3 雇用の終了または変更

A.9 物理的及び環境的セキュリティ

A.9.1 セキュリティを保つべき領域

A.9.2 装置のセキュリティ

A.5 セキュリティ基本方針

A.5.1 情報セキュリティ基本方針

A.6 情報セキュリティのための組織

A.6.1 内部組織

A.6.2 外部組織

A.7 資産の管理

A.7.1 資産に対する責任

A.7.2 情報の分類

A.8 人的資源のセキュリティ

A.8.1 雇用前

A.8.2 雇用期間中

A.8.3 雇用の終了または変更

A.9 物理的及び環境的セキュリティ

A.9.1 セキュリティを保つべき領域

A.9.2 装置のセキュリティ

A.10 通信および運用管理

A.10.1 運用の手順および責任

A.10.2 第三者が提供するサービスの管理

A.10.3 システムの計画作成および受入れ

A.10.4 悪意のあるコードおよびモバイルコードからの保護

A.10.5 バックアップ

A.10.6 ネットワークセキュリティ管理

A.10.7 媒体の取扱い

A.10.8 情報の交換

A.10.9 電子商取引サービス

A.10.10 監視

A.11 アクセス制御

A.11.1 アクセス制御に対する業務上の要求事項

A.11.2 利用者アクセスの管理

A.11.3 利用者の責任

A.11.4 ネットワークのアクセス制御

A.11.5 オペレーティングシステムのアクセス制御

A.11.6 業務用ソフトウェアおよび情報のアクセス制御

A.11.7 モバイルコンピューティングおよびテレワーキング

A.10 通信および運用管理

A.10.1 運用の手順および責任

A.10.2 第三者が提供するサービスの管理

A.10.3 システムの計画作成および受入れ

A.10.4 悪意のあるコードおよびモバイルコードからの保護

A.10.5 バックアップ

A.10.6 ネットワークセキュリティ管理

A.10.7 媒体の取扱い

A.10.8 情報の交換

A.10.9 電子商取引サービス

A.10.10 監視

A.11 アクセス制御

A.11.1 アクセス制御に対する業務上の要求事項

A.11.2 利用者アクセスの管理

A.11.3 利用者の責任

A.11.4 ネットワークのアクセス制御

A.11.5 オペレーティングシステムのアクセス制御

A.11.6 業務用ソフトウェアおよび情報のアクセス制御

A.11.7 モバイルコンピューティングおよびテレワーキング

A.12 情報システムの取得、開発および保守

A.12.1 情報システムのセキュリティ要求事項

A.12.2 業務用ソフトウェアでの正確な処理

A.12.3 暗号による管理策

A.12.4 システムファイルのセキュリティ

A.12.5 開発およびサポートプロセスにおけるセキュリティ

A.12.6 技術的ぜい弱性管理

A.13 情報セキュリティインシデントの管理

A.13.1 情報セキュリティの事象および弱点の報告

A.13.2 情報セキュリティインシデントの管理およびその改善

A.14 事業継続性管理

A.14.1 事業継続管理における情報セキュリティの側面

A.15 順守

A.15.1 法的要求事項の順守

A.15.2 セキュリティ方針および標準の順守、ならびに技術的順守

A.15.3 情報システムの監査に対する考慮事項

A.12 情報システムの取得、開発および保守

A.12.1 情報システムのセキュリティ要求事項

A.12.2 業務用ソフトウェアでの正確な処理

A.12.3 暗号による管理策

A.12.4 システムファイルのセキュリティ

A.12.5 開発およびサポートプロセスにおけるセキュリティ

A.12.6 技術的ぜい弱性管理

A.13 情報セキュリティインシデントの管理

A.13.1 情報セキュリティの事象および弱点の報告

A.13.2 情報セキュリティインシデントの管理およびその改善

A.14 事業継続性管理

A.14.1 事業継続管理における情報セキュリティの側面

A.15 順守

A.15.1 法的要求事項の順守

A.15.2 セキュリティ方針および標準の順守、ならびに技術的順守

A.15.3 情報システムの監査に対する考慮事項

A.5

A.6

A.7

A.8

A.15

A.5

A.6

A.7

A.8

A.15

A.9A.9 A.10A.10 A.11

A.12

A.11

A.12 A.13A.13A.6.2

A.8

A.10.2

A.6.2

A.8

A.10.2A.14A.14

図図図図 5.2-4 管理項目管理項目管理項目管理項目とととと JIS Q 27001とのとのとのとの対応対応対応対応

X

1)

2)

3)

4)

5)

55

6)

7)

A

IT

B C A

A C IT

PC

IT

図 5.2-5

56

X,取引先の重要情報を取り扱う企

業

X,取引先の

重要情報を取り扱う企

業

組織的取り組み組織的取り組み物理的対策

物理的対策運用管理運用管理

開発保守

アクセス制御

開発保守

アクセス制御事故対応事故対応再委託先

管理

再委託先管理事業継続性事業継続性

◎組織体制の確立、ルールの制定、管理者の任命などが必要。加えて、情報の返却・回収・廃棄のルールが必要。

△情報の分類に関しては、委託元より明示的に示される。

◎組織体制の確立、ルールの制定、管理者の任命などが必要。加えて、情報の返却・回収・廃棄のルールが必要。

△情報の分類に関しては、委託元より明示的に示される。

○情報への物理的アクセス管理が必要。


◎情報の交換、情報媒体の管理が重要。

○ウイルス対策、ファイル交換ソフト等の対策も必要

×システムの計画作成及び受け入れは不要

◎情報の交換、情報媒体の管理が重要。

○ウイルス対策、ファイル交換ソフト等の対策も必要

×システムの計画作成及び受け入れは不要

◎利用者アクセス管理をはじめとするアクセス管理と、暗号による管理策が必要。

×開発プロセス管理や正確な処理については重視する必要なし。

◎利用者アクセス管理をはじめとするアクセス管理と、暗号による管理策が必要。

×開発プロセス管理や正確な処理については重視する必要なし。

○事故発生時のインシデント対応、特に委託元に対する連絡などの対策が必要。

△情報セキュリティインシデントからの学習などは重視する必要なし。



◎再委託先に関しても自社と同様の管理を求める。

△契約などで再委託先の管理が禁止されている場合は不要。

◎再委託先に関しても自社と同様の管理を求める。

△契約などで再委託先の管理が禁止されている場合は不要。

×基本的には不要。×基本的には不要。

A.自社のリ

スクとして情報管理を行う必要のある企業



○大企業と同様に、自社のリスクに応じて実施。














B.組織的な情報セキュリティ対策が必要な企

業

B.組織的な

情報セキュリティ対策

が必要な企業

○自社のリスクに応じて実施。










×基本的には不要。（情報セキュリティの観点から委託先管理が必要な場合は企業分類Aに相当）

×基本的には不要。（情報セキュリティの観点から委託先管理が必要な場合は企業分類Aに相当）

×基本的には不要。（IT依存度が低いことから、情報セキュリティの観点からは事業継続性を検討する必要はない。）

×基本的には不要。（IT依存度が低いことから、情報セキュリティの観点からは事業継続性を検討する必要はない。）

C.端末ベー

スの情報セキュリティ対策が必要な

企業


企業

△必要に応じて実施。（組織的に情報システムを利用していないため。）




○ウイルス対策、ネットワークセキュリティ管理が主。


○アクセス管理・脆弱性対策は必要。

△それ以外に関しては必要に応じて実施。



△必要に応じて実施。△必要に応じて実施。 ×基本的には不要。（同上）

×基本的には不要。（同上）





















































































































































































































































































































○必要に応じて実施。○必要に応じて実施。

図図図図 5.2-5 情報情報情報情報セキュリティセキュリティセキュリティセキュリティ上上上上のののの管理項目管理項目管理項目管理項目

57

6. 今後の課題

6.1.中小企業の情報セキュリティ対策の推進方策

5

X

IPA

図 6.1-1

委託元企業委託元企業

業界団体業界団体

中小企業中小企業

標準フォーマット

業界標準

確認票

図図図図 6.1-1 標準標準標準標準フォーマットフォーマットフォーマットフォーマット・・・・チェックリストチェックリストチェックリストチェックリストのののの作成作成作成作成

A

IPA

B C

B C IT

58

A IT

図 6.1-2

一般一般一般一般的的的的なななな手法手法手法手法

保有保有保有保有するするするする情情情情報資産報資産報資産報資産のののの洗洗洗洗いいいい出出出出しししし

リスクリスクリスクリスク分析分析分析分析

対策基準対策基準対策基準対策基準・・・・実施手順実施手順実施手順実施手順のののの策定策定策定策定

PDCAサイサイサイサイクルクルクルクルのののの実施実施実施実施

一般一般一般一般的的的的なななな手法手法手法手法

保有保有保有保有するするするする情情情情報資産報資産報資産報資産のののの洗洗洗洗いいいい出出出出しししし

リスクリスクリスクリスク分析分析分析分析

対策基準対策基準対策基準対策基準・・・・実施手順実施手順実施手順実施手順のののの策定策定策定策定

PDCAサイサイサイサイクルクルクルクルのののの実施実施実施実施

中小中小中小中小企業企業企業企業へのへのへのへの導入導入導入導入

保有保有保有保有するするするする情情情情報資産報資産報資産報資産によによによによるるるる類別化類別化類別化類別化

共通的共通的共通的共通的ななななチェックチェックチェックチェックリストリストリストリスト（（（（標準標準標準標準フォーマットフォーマットフォーマットフォーマット））））

自社自社自社自社のののの環境環境環境環境にににに合合合合わわわわせたせたせたせた対策対策対策対策のののの再構築再構築再構築再構築

中小中小中小中小企業企業企業企業へのへのへのへの導入導入導入導入

保有保有保有保有するするするする情情情情報資産報資産報資産報資産によによによによるるるる類別化類別化類別化類別化

共通的共通的共通的共通的ななななチェックチェックチェックチェックリストリストリストリスト（（（（標準標準標準標準フォーマットフォーマットフォーマットフォーマット））））

自社自社自社自社のののの環境環境環境環境にににに合合合合わわわわせたせたせたせた対策対策対策対策のののの再構築再構築再構築再構築

定着後定着後定着後定着後はははは一般一般一般一般的的的的なななな手法手法手法手法へへへへ

当面当面当面当面のののの対策対策対策対策

図図図図 6.1-2 チェックリストチェックリストチェックリストチェックリスト等等等等によるによるによるによる簡易簡易簡易簡易ななななリスクリスクリスクリスク分析分析分析分析

IPA IPA

IT

図 6.1-3 IPA

B

①中小企業向けの参考資料の活用②情報セキュリティセミナーの活用③地域情報セキュリティ相談員の育成

①中小企業向けの参考資料の活用②情報セキュリティセミナーの活用③地域情報セキュリティ相談員の育成

X.取引先の重要情報を取り扱う

企業

X.取引先の重要情報を取り扱う

企業

A.自社のリスクとして情報管理を行う必要のあ

る企業

A.自社のリスクとして情報管理を行う必要のあ

る企業

B.組織的な情報セキュリティ対策が必要な企業

B.組織的な情報セキュリティ対策が必要な企業

C.端末ベースの情報セキュリティ対策が必要な企

業

C.端末ベースの情報セキュリティ対策が必要な企

業

■対策実施に対する動機づけ：顧客（委託元）からの要求■類型化：個人情報・営業秘密などの情報漏洩リスクに特化することで、ある程度の類型化が可能■効果的なリーチ手段：顧客からの提示■阻害要因：類型化への抵抗

■対策実施に対する動機づけ：顧客（委託元）からの要求■類型化：個人情報・営業秘密などの情報漏洩リスクに特化することで、ある程度の類型化が可能■効果的なリーチ手段：顧客からの提示■阻害要因：類型化への抵抗

■対策実施に対する動機づけ：自社の必要性■類型化：類型化は困難な可能性■効果的なリーチ手段：国・公的機関・団体からの働きかけ■阻害要因：自社のリスクを適切に判断することの難しさ

■対策実施に対する動機づけ：自社の必要性■類型化：類型化は困難な可能性■効果的なリーチ手段：国・公的機関・団体からの働きかけ■阻害要因：自社のリスクを適切に判断することの難しさ

■対策実施に対する動機づけ：社会的環境■類型化： ITに依存しない典型的な業務モデルを仮定することで、ある程度の類型化が可能■効果的なリーチ手段：業界団体・地域・商工会議所等の日常接触のある団体等からの働きかけ■阻害要因：コスト面・人材面などの制約

■対策実施に対する動機づけ：社会的環境■類型化： ITに依存しない典型的な業務モデルを仮定することで、ある程度の類型化が可能■効果的なリーチ手段：業界団体・地域・商工会議所等の日常接触のある団体等からの働きかけ■阻害要因：コスト面・人材面などの制約

■対策実施に対する動機づけ：社会的環境■類型化：端末ベースの典型的な業務モデルを仮定することで、ある程度の類型化が可能■効果的なリーチ手段：同上■阻害要因：同上

■対策実施に対する動機づけ：社会的環境■類型化：端末ベースの典型的な業務モデルを仮定することで、ある程度の類型化が可能■効果的なリーチ手段：同上■阻害要因：同上

①関係業界等（情報サービス、製造業等）との協力により、順次、標準フォーマット・チェックリストの作成

①関係業界等（情報サービス、製造業等）との協力により、順次、標準フォーマット・チェックリストの作成

①情報セキュリティ対策ベンチマークの普及②ベストプラクティスの作成等※IPA 「大企業・中堅企業の情報システムのセキュリティ対策」の普及・改訂等

③MyJVNの活用

①情報セキュリティ対策ベンチマークの普及②ベストプラクティスの作成等※IPA 「大企業・中堅企業の情報システムのセキュリティ対策」の普及・改訂等

③MyJVNの活用

①簡易なチェックリストの作成②ガイドラインの作成等※IPA「小規模企業のための情報セキュリティ対策」の普及・改訂等

①簡易なチェックリストの作成②ガイドラインの作成等※IPA「小規模企業のための情報セキュリティ

対策」の普及・改訂等



現時点で考えられるメニュー（案）現時点で考えられるメニュー（案）

図図図図 6.1-3 企業分類別企業分類別企業分類別企業分類別のののの対策実装対策実装対策実装対策実装にににに向向向向けたけたけたけた検討検討検討検討

59

60

付録 A. アンケート調査票

61

情報セキュリティ対策の実態調査

【中小企業対象】 2007 年 11 月実施

１．調査目的

本調査は、中小企業における情報セキュリティ対策状況及び取引先（業務委託元）からの情報セキュリティに関

する要求の実態を把握することを目的として、独立行政法人情報処理推進機構（IPA）の委託の下、株式会社三菱

総合研究所が実施するものです。

本調査は広く実態を捉えることを目的とした調査です。取引先からの情報セキュリティに関する要求を受けてい

ない企業の方々におきましても、統計的に有意な結果を得るために、ご回答へのご協力を何卒よろしくお願い申し

上げます。

２．調査項目

本調査は、主に以下の項目についてお伺いいたします。

・貴社の業務受託の状況

・取引先（業務委託元）からの情報セキュリティに係わる要求と確認方法の実態、課題

・情報セキュリティ対策の実施状況

３．ご回答をお願いしたい方

本調査は、会社四季報に掲載される従業員数が 300 人以下の上場企業および未上場の有力中小企業にお送り

しております。貴社において、取引先（業務委託元）からの情報セキュリティに関わる要求について対応を行う情報

セキュリティ担当部門もしくは総務部門等の責任者の方のご回答をお願いいたします。異なる部署で受け取られた

場合、お手数ですが、ご担当の部署にお回しください。

４．ご回答要領

・設問は全部で 22 問です。

・ご回答は、該当する選択肢の番号に○を付けるか、欄内に具体的な数値や文章をご記入ください。

・ご記入後は、同封の返信用封筒に入れ、12121212 月月月月 14141414 日日日日（（（（金金金金））））までにご投函下さるようにお願いいたします。

５．その他

・調査にご協力いただき、ご連絡先にご記入いただいた方に、後日集計結果の要約をお送りいたします。

・集計・分析に利用するのは、総計、平均等の代表値のみです。個票の内容は公開いたしません。

・本調査票についてご不明の点などございましたら、下記までお問い合わせください。

株式会社三菱総合研究所情報セキュリティ研究グループ

「情報セキュリティ対策の実態調査」担当（江連・村野）

〒100-8141 東京都千代田区大手町 2-3-6 TEL 03-3277-0749 / FAX 03-3277-0567

■回答者のご連絡先

（本調査票最終ページ「個人情報のお取り扱いについて」にご同意の上、可能であればご記入願います）

貴社名

住所〒電話

御所属・御役職（御所属）（御役職）

お名前

62

本調査票において「業務受託」とは、取引先（業務委託元）の業務の処理を外部（自社）で受託することを

いい、いわゆるアウトソーシングだけでなく、外注や請負の他、購買等の業務も含むこととします。ただし、

派遣労働者による業務処理は除きます。

【受託業務の実態】

問 1 貴社において、昨年度登録されている取引先（業務委託元）の「(1) 社数」および「(2) 昨年度取引

高」をご記入ください。（ご回答者が把握している範囲で構いません）

(1) 取引先社数（）社 (2) 取引高（）万円

業務を受託していない企業の方 → 問 8にお進みください。

問 2 問 1でお答えになった取引先（業務委託元）からの受託業務範囲について、当てはまるものを全てお

選びください。[複数回答]

1. 事務・管理業務（人事管理、教育訓練・研修、福利厚生、経理、その他事務管理）

2. 生産等業務（製造（生産・購買等）、建設、機器点検・保守）

3. 情報処理業務（情報処理、システム開発）

4. 物流業務

5. 研究開発・設計

6. フロントオフィス業務

（営業・販売、広告・マーケティング・調査、対個人サービス、施設管理、コールセンター等）

7. その他の業務（具体的に：）

問 3 貴社において、取引先（業務委託元）から委託されている重要な情報を全てお選びください。[複数回

答] また、それらの情報のうち、貴社において多くの取引先（業務委託元）から最も厳密な管理を求

められる重要な情報を1つお答えください。

(1) 取引先（業務委託元）から委託されている重要な情報 [複数回答]

1. 取引先の従業員に関する個人情報

2. 取引先の顧客に関する個人情報

3. 取引先の経営に関わる情報

4. 製造方法、部品等に関する技術情報

5. 金型、生産設備等に関する技術情報

6. 最終製品に関する情報

7. ビジネスに関わるノウハウ等

8. その他（具体的に）

9. 重要な情報は委託されていない

(2) 取引先（業務委託元）に委託されている重要な情報のうち、最も厳密な管理を求められる重要な情報

上記1～8の番号のうち1つをご記入ください → （）

【取引先（業務委託元）からの情報セキュリティ対策に関する要求実態】

問 4 貴社では、貴社の情報セキュリティ対策状況に関して、取引先（業務委託元）から確認を受けたこと

がありますか。今年度、確認を受けた社数の概数をお答えください。（）社

「確認を受けたことがある」企業の方 → 問 5にお進みください。

「確認を受けたことがない」企業の方 → 問 8にお進みください。

問 5 （問 4で「確認を受けた」（0社以外）とお答えの方）今年度、受託業務に関して確認があった社数は、

昨年度と比較して変化していますか。当てはまるものを1つお選びください。

1. 大きく増加（20%以上増加）

2. やや増加（20%未満増加）

3. ほぼ変化無し（数%の増減）

4. やや減少（20%未満減少）

5. 大きく減少（20%以上減少）

63

問 6 （問 4で「確認を受けた」（0社以外）とお答えの方）取引先（業務委託元）による情報セキュリティ

対策の確認方法を以下から全てお選びください。 [複数回答]

1. 各種認証・制度の取得証明書の提示

2. チェックシート等による対策状況の確認

3. 情報セキュリティ対策ベンチマーク（IPA）による確認

4. 内部監査人等による監査

5. 監査法人が作成した報告書の確認

6. 経営者の署名入りの確認書の提示

7. その他（具体的に：）

問 7 （問 4で「確認を受けた」（0社以外）とお答えの方）情報セキュリティ対策の確認があった取引先（業

務委託元）の業種を以下から全てお選びください。 [複数回答]

1. 農林漁業・鉱業

2. 建設業

3. 製造

4. 電気・ガス・熱供給・

水道業

5. 情報通信業

6. 運輸業

7. 卸売・小売業

8. 金融・保険業

9. 不動産業

10. 飲食店、宿泊業

11. 医療、福祉

12. 教育、学習支援業

13. その他のサービス業

【情報セキュリティ対策状況と取引先（業務委託元）からの具体的な要求事項】

問 8 貴社において情報セキュリティに関して(1)実施している対策を全てお選びください。また、（問 4で

「確認を受けた」（0 社以外）とお答えの方）は取引先（業務委託元）からの情報セキュリティに関わ

る対策状況の確認時に、(2)具体的に要求された項目を全てお選びください。[複数回答]

(1) 実施している対策

(2) 要求された項目

(A) 情報セキュリティに対する組織的な取り組み状況（情報管理体制、従業員との契約条件、従業員教育等）

1 1

(B) 物理的（環境的）セキュリティ対策 2 2

(C) 通信ネットワーク及び情報システムの運用管理 3 3

(D) 情報システムの開発、保守、アクセス制御 4 4

(E) 情報セキュリティ上の事故対応状況 5 5

(F) 再委託先管理 6 6

(G) 事業継続管理 7 7

(H) その他（具体的に：） 8 8

(3)（問 4で「確認を受けた」（0社以外）とお答えの方）取引先（業務委託元）からの情報セキュリテ

ィに関わる対策状況の確認時に、対応が不十分だったために取引停止になった経験または追加対策を

求められたことがありますか。当てはまるものを以下から全てお選びください。[複数回答]

1. 取引停止の経験がある 2. 追加対策を求められた経験がある 3. いずれもない

【再委託先の管理】

問 9 貴社では、業務受託の際に、再委託先の情報セキュリティ対策状況の確認を行っていますか。当ては

まるものを1つお選びください。

1. 取引先（業務委託元）が、直接状況確認を行っている

2. 自社（貴社）が、取引先（業務委託元）の基準に準じた管理をしている

3. 自社（貴社）の基準により管理を行っている

4. 契約時、再委託は認めていない

5. 確認していない

64

【取引先（業務委託先）におけるトラブルの実態】

問 10 貴社では、情報セキュリティに関するトラブルによって、取引先（業務委託元）のビジネスに影響を

与えたことがありますか。今年度、経験したことがあるものについて、当てはまるものを全てお選び

ください。[複数回答]

1. 受託している個人情報や機密情報の漏洩・流出（電子媒体によるもの）

2. 受託している個人情報や機密情報の漏洩・流出（非電子媒体によるもの）

3. システムの誤動作、誤作動

4. ウイルス感染や不正アクセス等によるシステムダウン

5. 自然災害等によるシステムダウン


7. 特にトラブルは発生していない

【貴社における情報セキュリティ対策の状況】

問 11 貴社において、情報セキュリティに係わる業務の内容についてそれぞれお答えください。

(1) 主要な業務に関わるプロセスのうち、情報システム（社外のシステム含む）に依存している割合は

どの程度ですか。

1. 一部にとどまる（25%以下）

2. 若干依存している（25%～50%以下）

3. 多くの部分が依存している（50%～75%以下）

4. ほとんどの部分が依存している（75%以上）

(2) 主要な業務に関わるプロセスのうち、インターネットに依存している割合はどの程度ですか。

1. 一部にとどまる（25%以下）

2. 若干依存している（25%～50%以下）

3. 多くの部分が依存している（50%～75%以下）

4. ほとんどの部分が依存している（75%以上）

(3) 外部に漏洩すると事業に極めて深刻な影響が生じる重要情報（国家機密、営業機密、プライバシー

情報等）をどの程度保有、管理または使用していますか。

1. ほとんどない

2. 少ない

3. 全体の半分程度

4. ほとんどがその種の情報である

(4) 事業を実施する上で何名分程度の個人情報を取り扱っていますか。ご記入ください。

おおよそ（）名分

問 12 貴社における、情報セキュリティ担当者の人数を、専任／兼任それぞれお答えください。

(1) 専任担当者（）人 (2) 兼任担当者（）人

問 13 貴社において、(1)IT投資額、(2)IT投資額に占めるセキュリティ投資比率について、それぞれ1つ

ずつお選びください。

(1)IT投資額

1. 投資なし

2. 500万円未満

3. 500万円～1,000万円未満

4. 1,000万円～5,000万円未満

5. 5,000万円～1億円未満

6. 1億円～5億円未満



9. 100億円以上

10. わからない

65

(2)IT投資額に占めるセキュリティ投資比率

1. 投資なし

2. 1％未満

3. 1～3％未満

4. 3～5％未満

5. 5～10％未満

6. 10～20％未満

7. 20～30％未満

8. 30％以上

9. わからない

問 14 貴社における、(1)情報セキュリティ関連教育費用、(2)セキュリティ関連認証取得・更新費用をお答

えください。

(1)情報セキュリティ関連教育費用万円

(2)セキュリティ関連認証取得・更新費用万円

問 15 貴社が情報セキュリティ対策を進める上で、独自の取り組み、工夫等がありましたらお答えください。

問 16 貴社における情報セキュリティ対策を進める上での課題について、当てはまるものを全てお選びくだ

さい。[複数回答]

1. 内部統制、法対応等、市場からの要求へ

の対応が困難

2. 取引先からの要求への対応が困難

3. セキュリティ対策予算の不足

4. セキュリティ対策推進人材の不足

5. どこまで対策すべきか不明

6. 投資対効果が見えづらい

7. 経営者の意識の低さ

8. 従業員の意識の低さ


10. 特になし

問 17 （問 16で「2.取引先からの要求への対応が困難」とお答えの方）貴社において、取引先から要求さ

れる情報セキュリティ対策に関する課題について、当てはまるものを全てお選びください。[複数回答]

1. 委託元毎に要求が異なり、各社への対応が困難である

2. 委託元の要求するレベルの対策を実施するためのコストが負担できない

3. 委託元からのヒアリングや監査等への対応コストが負担となっている

4. セキュリティトラブルによって取引先に与えた損害対応が過大な負担になっている


【取引先（業務委託元）に対する情報セキュリティ対策の説明に関わる意向】

問 18 貴社では、取引先（業務委託元）に対して、情報セキュリティに関わる対策状況を説明する際に有効

であると考える方法はありますか。当てはまるものを全てお選びください。[複数回答]

1. セキュリティレベルを証明・確認するチェックリスト3

2. 情報セキュリティ対策実施状況確認のための標準フォーマット4

3. 情報セキュリティ対策ベンチマーク

4. 情報セキュリティ監査

5. ISMS

6. プライバシーマーク

7. 情報セキュリティ格付5


3 4 5 AAA AA

66

【企業属性】

Ｆ１貴社が属する業種をお答えください。[当てはまるもの１つ]

1. 農林漁業・鉱業

2. 建設業

3. 製造業（品目：）

4. 電気・ガス・熱供給・水道業

5. 情報通信業

6. 運輸業

7. 卸売・小売業

8. 金融・保険業

9. 不動産業

10. 飲食店、宿泊業

11. 医療、福祉

12. 教育、学習支援業

13. その他のサービス業

67

Ｆ２貴社の従業員数をお答えください。人

Ｆ３貴社の資本金をお答えください。百万円

Ｆ４貴社の直近年度の売上高をお答えください。百万円

現在、株式会社三菱総合研究所では、情報セキュリティ対策を進める中小企業に対し、

取り組みにおける工夫や課題の克服方法等についてお伺いし、日本企業における情報セキ

ュリティ対策の推進を図るための共通の知見・ノウハウとして公開を予定しております。

貴社の情報セキュリティ対策に関する独自の取り組みについて、詳しいお話を伺うこと

が可能であれば、下記（）内に○をご記入ください。

（）インタビューへの協力が可能

※インタビュー調査は株式会社三菱総合研究所の研究員が実施します。ご対応いただいた方には、ささやかながら謝礼をお渡しいたします。 ※お伺いした内容はレポートとして公開されますが、個々の企業名や内容が特定される形での公開はいたしません。原

稿は公開前にご確認いただきます。

※実際にお話をお伺いする方には、記載いただいた連絡先に株式会社三菱総合研究所より直接ご連絡差し上げます。「ご

協力可能」とされた方全てにお伺いできないことがありますので、ご了承いただけますようお願いいたします。

以上

＝＝＝＝ごごごご回答回答回答回答ありがとうございましたありがとうございましたありがとうございましたありがとうございました＝＝＝＝

68

個人情報のお取り扱いについて

株式会社三菱総合研究所本アンケートは、独立行政法人情報処理推進機構より委託を受けて三菱総合研究所が実施するもので、四季報に掲載される従業員数が 300 人以下の上場企業および未上場の有力中小企業から無作為に抽出した方にお送りしています。

ご回答者の個人情報につきましては、下記の通り適切に管理いたしますので、ご同意の上、アンケートにご回答くださいますようよろしくお願い申し上げます。

１１１１....個人情報個人情報個人情報個人情報のののの取扱取扱取扱取扱いにいにいにいに関関関関するするするする弊社弊社弊社弊社のののの基本姿勢基本姿勢基本姿勢基本姿勢三菱総合研究所は、2003 年 1 月 8 日にプライバシーマークの付与･認定を受けております。ご回答者の個人情報は、

弊社が定める「個人情報保護方針」に則り、適切な保護措置を講じ、厳重に管理いたします

２２２２....ごごごご回答者回答者回答者回答者のののの個人情報個人情報個人情報個人情報のののの利用目的利用目的利用目的利用目的ご回答者の個人情報は、中小企業における情報セキュリティ対策実態の把握に関して、(1)集計結果要約のご送付、(2)

調査票ご提出後の回答内容の確認、を行うために利用させていただきます。本目的以外の目的で個人情報を利用する場合は、改めて目的をお知らせし、同意を得るものといたします。

３３３３．．．．ごごごご回答者回答者回答者回答者のののの個人情報個人情報個人情報個人情報のののの委託委託委託委託・・・・提供提供提供提供ご回答者の個人情報につきまして、外部委託事業者に個人情報を取扱う業務を委託する予定はありません。また、委

託元の独立行政法人情報処理推進機構に提供する予定もありません。

４４４４．．．．ごごごご回答者回答者回答者回答者のののの個人情報個人情報個人情報個人情報のののの利用利用利用利用目的目的目的目的終了後終了後終了後終了後のののの措置措置措置措置ご回答者の個人情報は、当該利用目的終了後は、弊社が責任を以て適切に消去・廃棄いたします。

５５５５．．．．個人情報個人情報個人情報個人情報にににに関関関関するごするごするごするご連絡先連絡先連絡先連絡先 ① 個人情報の取扱責任者常務執行役員渡井康之（連絡先：03-3270-9211、E-mail：[email protected]）

② 苦情・相談窓口：経営企画部広報グループ電話：03-3277-4515 FAX：03-3277-3490 E-mail：prd＠mri.co.jp URL：http://www.mri.co.jp/kojin/

◆ 弊社の「個人情報保護方針」「個人情報のお取り扱いについて」をご覧になりたい方はhttp://www.mri.co.jp/TOP/privacy.html をご覧下さい。また、ご請求いただければお送り致します。

お問合せ番号：Ｐ016291-002-ｃ

69

取引先の情報セキュリティ対策確認状況に関する実態調査

【大企業対象】 2007 年 11 月実施

１．調査目的

本調査は、大企業における取引先（業務委託先）への情報セキュリティに関する要求の実態を把握すること

を目的として、独立行政法人情報処理推進機構（IPA）の委託の下、株式会社三菱総合研究所が実施するもの

です。

本調査は広く実態を捉えることを目的とした調査です。取引先に対して情報セキュリティに関する要求を行っ

ていない企業の方々におきましても、統計的に有意な結果を得るために、ご回答へのご協力を何卒よろしくお

願い申し上げます。

２．調査項目

本調査は、主に以下の項目についてお伺いいたします。

・貴社の業務委託の状況

・取引先（業務委託先）に対する情報セキュリティに係わる要求と確認方法の実態、課題

３．ご回答をお願いしたい方

本調査は、会社四季報に掲載される従業員数が 300 人を超える上場企業にお送りしております。貴社にお

いて、取引先（業務委託先）の情報セキュリティについて管理を行う、総務部門や情報セキュリティ担当部門等

の責任者の方のご回答をお願いいたします。異なる部署で受け取られた場合、お手数ですが、ご担当の部署

にお回しください。

４．ご回答要領

・設問は全部で 22 問です。

・ご回答は、該当する選択肢の番号に○を付けるか、欄内に具体的な数値や文章をご記入ください。

・ご記入後は、同封の返信用封筒に入れ、12121212 月月月月 14141414 日日日日（（（（金金金金））））までにご投函下さるようにお願いいたします。

５．その他

・調査にご協力いただき、ご連絡先にご記入いただいた方に、後日集計結果の要約をお送りいたします。

・集計・分析に利用するのは、総計、平均等の代表値のみです。個票の内容は公開いたしません。

・本調査票についてご不明の点などございましたら、下記までお問い合わせください。

株式会社三菱総合研究所情報セキュリティ研究グループ

「取引先への情報セキュリティ要求実態に関する調査」担当（江連・村野）

〒100-8141 東京都千代田区大手町 2-3-6 TEL 03-3277-0749 / FAX 03-3277-0567

■回答者のご連絡先

（本調査票最終ページ「個人情報のお取り扱いについて」にご同意の上、可能であればご記入願います）

貴社名

住所〒電話

御所属・御役職（御所属）（御役職）

お名前

70

本調査票において「業務委託」とは、自社の業務の処理を外部（他社）に委託することをいい、いわゆ

るアウトソーシングだけでなく、外注や請負の他、購買等の業務も含むこととします。ただし、派遣労

働者による業務処理は除きます。

【委託業務の実態】

問 1 貴社において、昨年度登録されている取引先（業務委託先）の「(1) 社数」および「(2) 昨年度

取引高」をご記入ください。（ご回答者が把握している範囲で構いません）

(1) 取引先社数（）社 (2) 取引高（）万円

問 2 問 1でお答えになった取引先（業務委託先）への委託業務範囲について、当てはまるものを全て

お選びください。[複数回答]

1. 事務・管理業務（人事管理、教育訓練・研修、福利厚生、経理、その他事務管理）

2. 生産等業務（製造（生産・購買等）、建設、機器点検・保守）

3. 情報処理業務（情報処理、システム開発）

4. 物流業務

5. 研究開発・設計

6. フロントオフィス業務

（営業・販売、広告・マーケティング・調査、対個人サービス、施設管理、コールセンター等）

7. その他の業務（具体的に：）

問 3 問 1でお答えになった委託業務の取引高に関して、今年度の変化について当てはまるものを 1 つ

お選びください。

1. 大きく増加（20%以上増加）

2. やや増加（20%未満増加）

3. ほぼ変化無し（数%の増減）

4. やや減少（20%未満減少）

5. 大きく減少（20%以上減少）

問 4 問 1でお答えになった取引先（業務委託先）のうち、「(1)中小企業の割合」および「(2)海外企

業の割合」はどの程度ですか。当てはまるものを１つお選びください。なお、本調査において「中

小企業」とは、便宜的に全ての業種において「従業員数 300 人以下の企業」とします。

(1) 中小企業の割合

1. 5%未満

2. 5%～10%未満

3. 10%～20%未満

4. 20%～30%未満

5. 30%～40%未満

6. 40%～50%未満

7. 50%以上

8. 把握していない

(2) 海外企業の割合

1. 5%未満

2. ５%～10%未満

3. 10%～20%未満

4. 20%～30%未満

5. 30%～40%未満

6. 40%～50%未満

7. 50%以上

8. 把握していない

71

【貴社における情報管理の実態と取引先（業務委託先）に求める事項】

問 5 貴社では、自社で保有する情報資産について、情報の価値や重要性に応じた分類を行っています

か。当てはまるものを 1つお選びください。

1. ほぼ全ての情報について実施している

2. 8 割程度の情報について実施している



5. 実施していない

問 6 貴社において、取引先（業務委託先）に委託している重要な情報を全てお選びください。[複数

回答] また、それらの情報のうち貴社において取引先（業務委託先）に最も厳密な管理を求める

重要な情報を 1つお答えください。

(1) 取引先（業務委託先）に委託している重要な情報 [複数回答]

1. 従業員に関する個人情報

2. 顧客に関する個人情報

3. 経営に関わる情報

4. 製造方法、部品等に関する技術情報

5. 金型、生産設備等に関する技術情報

6. 最終製品に関する情報

7. ビジネスに関わるノウハウ等


9. 重要な情報は委託していない

(2) 取引先（業務委託先）に委託している重要な情報のうち、最も厳密な管理を求める重要な情報

上記 1～8の番号のうち 1 つをご記入ください → （）

【取引先（業務委託先）への情報セキュリティ対策に関する要求実態】

問 7 貴社では、取引先（業務委託先）に対して、情報セキュリティに関わる対策状況を、組織におい

て定められた手順によって確認していますか。いずれかを 1つお選びください。

1. 定められた手順によって確認している → 問 8 にお進みください

2. 定められた手順によって確認していない → 問 14 にお進みください

問 8 から問 13 は、取引先（業務委託先）に対して、情報セキュリティに関わる対策状況を確認している企業の方にお尋ねします。

問 8 （問 7 で「確認している」とお答えの方）貴社において取引先（業務委託先）の情報セキュリテ

ィに関わる対策状況を確認する対象は、どのような業務の取引先（業務委託先）ですか。当ては

まるものを全てお選びください。[複数回答]

1. 個人情報を含む業務の取引先

2. 重要な技術情報、営業秘密情報等を含む業務の取引先

3. 貴社独自のノウハウを共有・提供する業務の取引先

4. 内部統制に関わる重要な業務の取引先

5. 取引高の大きな取引先

6. 業務内容に関わらず全ての取引先が対象


72

問 9 （問 7 で「確認している」とお答えの方）貴社では、取引先（業務委託先）に求める情報セキュ

リティに関わる要求事項をどのように整理していますか。当てはまるものを全てお選びください。

[複数回答]

1. プライバシーマーク、ISMS 等、各種認証・制度に準じた要求事項

（具体的に：）

2. 取引先に共通する要求事項

3. 引先毎に個別の要求事項


問 10 （問 7 で「確認している」とお答えの方）貴社では、どのような方法で取引先（業務委託先）

の情報セキュリティに関わる対策状況を確認していますか。当てはまるものを全てお選びくださ

い。[複数回答]

1. 各種認証・制度の取得証明書の提示

2. チェックシート等による対策状況の確認

3. 情報セキュリティ対策ベンチマーク（IPA）による確認

4. 内部監査人等による監査

5. 監査法人が作成した報告書の確認

6. 経営者の署名入りの確認書の提示

7. 指針等の提示のみで確認は実施しない


問 11 （問 7 で「確認している」とお答えの方）貴社では、取引先（業務委託先）の情報セキュリテ

ィに関わる対策状況について取引先（業務委託先）のレベル分けを実施していますか。また、レ

ベルに応じた委託業務の区別や要求レベルに満たない取引先への特別な対応を行っていますか。

それぞれ当てはまるものを 1 つずつお選びください。

(1) 取引先（業務委託先）のレベル分け

1. レベル分けを実施している → 問 11(2)にお進みください。

2. レベル分けを実施していない → 問 12 にお進みください。

(2) レベルに応じた委託業務の区別

1. 委託業務の区別を実施している

2. 委託業務の区別を実施していない

(3) 委託業務内容によって求められるレベルに満たない取引先（委託業務先）への対応

1. 当該委託業務に関する取引の停止

2. セキュリティに関する研修の実施

3. セキュリティに関するコンサルティングの実施


5. 特に対応は実施しない

73

【取引先（業務委託先）に対する具体的な要求事項】

問 12 （問 7 で「確認している」とお答えの方）取引先（業務委託先）の情報セキュリティに関わる

対策状況に関して、具体的に要求している事項を全てお選びください。[複数回答]

1. 情報セキュリティに対する組織的な取り組み状況

（情報管理体制、従業員との契約条件、従業員教育等）

2. 物理的（環境的）セキュリティ対策

3. 通信ネットワーク及び情報システムの運用管理

4. 情報システムの開発、保守、アクセス制御

5. 情報セキュリティ上の事故対応状況

6. 再委託先管理

7. 事業継続管理


【取引先（業務委託先）に対する情報セキュリティレベル向上のためのコスト】

問 13 （問 7 で「確認している」とお答えの方）取引先（業務委託先）の情報セキュリティに関わる

対策状況の確認や、取引先（業務委託先）のセキュリティレベルを上げるためのコストについて

お尋ねします。

(1)貴社の稼働人員と時間を作業毎にご記入ください。実施していないものは「(a)貴社担当者数」

の欄に「0（名）」とご記入ください。

(a)貴社担当者数

(b)1 回当たり所要時間

(c)1 社当たり年間回数

(d)対象社数

(A)監査、ヒアリング名時間回社

(B)研修名時間回社

(C)コンサルティング名時間回社

(D)その他

（具体的に：）

名時間回社

(2) 取引先（業務委託先）の情報セキュリティ対策状況を確認する際のコスト負担の状況につい

てお答えください。

1. 取引金額に上乗せしている

2. 取引先（業務委託先）に負担させている

3. 自社（貴社）で負担している


【再委託先の管理】

問 14 貴社では、業務委託の際に、再委託先の情報セキュリティ対策状況の確認を行っていますか。

当てはまるものを 1つお選びください。

1. 自社（貴社）が、直接状況確認を行っている

2. 取引先（業務委託先）に、自社（貴社）の基準に準じた管理をさせている

3. 再委託先の管理は取引先（業務委託先）基準に任せている

4. 契約時、再委託は認めていない

5. 確認していない

74

【取引先（業務委託先）におけるトラブルの実態】

問 15 貴社では、取引先（業務委託先）における情報セキュリティに関するトラブルによって、貴社

のビジネスに影響を与えたことがありますか。今年度、経験したことがあるものについて、当て

はまるものを全てお選びください。[複数回答]

1. 委託している個人情報や機密情報の漏洩・流出（電子媒体によるもの）

2. 委託している個人情報や機密情報の漏洩・流出（非電子媒体によるもの）

3. システムの誤動作、誤作動

4. ウイルス感染や不正アクセス等によるシステムダウン

5. 自然災害等によるシステムダウン


7. 特にトラブルは発生していない

問 16 貴社では、取引先（業務委託先）における情報セキュリティに関するトラブルを把握するため

に、定期的なモニタリングをする仕組みがありますか。当てはまるものを全てお選びください。[複

数回答]

1. モニタリングする仕組みがある 2. モニタリングする仕組みはない

【取引先（業務委託先）における情報セキュリティ対策確認時の課題】

問 17 貴社では、取引先（業務委託先）に対して、情報セキュリティに関わる対策状況を確認する際

の問題点はありますか。当てはまるものを全てお選びください。[複数回答]

1. 対策確認のためのコストが増大している

2. 取引先に求める情報セキュリティ対策項目とレベルがわからない

3. 取引先・業務によって要求事項が異なり、確認が困難となっている

4. 書面での確認が可能でも、取引先の対策実態がわからない

5. 既存の制度・仕組みでは、委託不可能な取引先が発生している

6. 取引先のセキュリティトラブルによって発生した際の対応と責任が曖昧になっている


8. 特に課題はない

【取引先（業務委託先）における情報セキュリティ対策確認に関わる意向】

問 18 貴社では、取引先（業務委託先）に対して、情報セキュリティに関わる対策状況を確認する際

に有効であると考える方法はありますか。当てはまるものを全てお選びください。[複数回答]

1. セキュリティレベルを証明・確認するチェックリスト6

2. 情報セキュリティ対策実施状況確認のための標準フォーマット7

3. 情報セキュリティ対策ベンチマーク

4. 情報セキュリティ監査

5. ISMS

6. プライバシーマーク

7. 情報セキュリティ格付8


6 7 8 AAA AA

75

【企業属性】

Ｆ１貴社が属する業種をお答えください。[当てはまるもの１つ]

(ア) 農林漁業・鉱業

(イ) 建設業

(ウ) 製造業（品

目：）

(エ) 電気・ガス・熱供給・水道業

(オ) 情報通信業

(カ) 運輸業

(キ) 卸売・小売業

(ク) 金融・保険業

(ケ) 不動産業

(コ) 飲食店、宿泊業

(サ) 医療、福祉

(シ) 教育、学習支援業

(ス) その他のサービス業

Ｆ２貴社の従業員数をお答えください。人

Ｆ３貴社の資本金をお答えください。百万円

Ｆ４貴社の直近年度の売上高をお答えください。百万円

以上

＝＝＝＝ごごごご回答回答回答回答ありがとうございましたありがとうございましたありがとうございましたありがとうございました＝＝＝＝

個人情報のお取り扱いについて

株式会社三菱総合研究所

本アンケートは、独立行政法人情報処理推進機構より委託を受けて三菱総合研究所が実施するもので、会社四季報に掲載される従業員数 300 人を超える上場企業から無作為に抽出した方にお送りしています。

ご回答者の個人情報につきましては、下記の通り適切に管理いたしますので、ご同意の上、アンケートにご回答くださいますようよろしくお願い申し上げます。

１１１１....個人情報個人情報個人情報個人情報のののの取扱取扱取扱取扱いにいにいにいに関関関関するするするする弊社弊社弊社弊社のののの基本姿勢基本姿勢基本姿勢基本姿勢三菱総合研究所は、2003 年 1 月 8日にプライバシーマークの付与･認定を受けております。ご回答者の個人情報は、弊社が定

める「個人情報保護方針」に則り、適切な保護措置を講じ、厳重に管理いたします

２２２２....ごごごご回答者回答者回答者回答者のののの個人情報個人情報個人情報個人情報のののの利用目的利用目的利用目的利用目的ご回答者の個人情報は、大企業における取引先への情報セキュリティに関する要求の実態を把握に関して、(1)集計結果要約

のご送付、(2)調査票ご提出後の回答内容の確認、を行うために利用させていただきます。本目的以外の目的で個人情報を利用する場合は、改めて目的をお知らせし、同意を得るものといたします。

３３３３．．．．ごごごご回答者回答者回答者回答者のののの個人情報個人情報個人情報個人情報のののの委託委託委託委託・・・・提供提供提供提供ご回答者の個人情報につきまして、外部委託事業者に個人情報を取扱う業務を委託する予定はありません。また、委託元の独

立行政法人情報処理推進機構に提供する予定もありません。

４４４４．．．．ごごごご回答者回答者回答者回答者のののの個人情報個人情報個人情報個人情報のののの利用利用利用利用目的目的目的目的終了後終了後終了後終了後のののの措置措置措置措置ご回答者の個人情報は、当該利用目的終了後は、弊社が責任を以て適切に消去・廃棄いたします。

５５５５．．．．個人情報個人情報個人情報個人情報にににに関関関関するごするごするごするご連絡先連絡先連絡先連絡先 ① 個人情報の取扱責任者常務執行役員渡井康之（連絡先：03-3270-9211、E-mail：[email protected]）

② 苦情・相談窓口：経営企画部広報グループ電話：03-3277-4515 FAX：03-3277-3490 E-mail：prd＠mri.co.jp URL：http://www.mri.co.jp/kojin/

◆ 弊社の「個人情報保護方針」「個人情報のお取り扱いについて」をご覧になりたい方はhttp://www.mri.co.jp/TOP/privacy.html をご覧下さい。また、ご請求いただければお送り致します。

お問合せ番号：Ｐ016291-001-ｃ

付録 B. IPA の中小企業向け施策

B.1 情報セキュリティ対策ベンチマークの活用

セキュリティポリシー・社内規程の策定

アクセス制御

ウイルス対策用ソフトウェアツールの導入

情報セキュリティ監査・第３者認証の実施

社内教育

委託先の検査

事業継続計画の策定

物理的安全管理・・・

・・・・

・・・

・・・

・・・

・・・

・・・・・・

望まれる水準

回答企業の水準

トータルスコアと推奨される取組みを提示

High

Middle

Low

推奨される取組み

レベル

Webで回答Level up!!

企業プロフィール（15項目）

・事業構造上の脆弱性・社会的影響力

セキュリティ対策（25項目）

・組織的な取組み・物理的（環境的）施策・通信・システムの運用管理・開発・保守、アクセス制御・事故対応状況

評価項目（全40項目）

高水準のセキュリティ対策が要求される層

相応の水準のセキュリティ対策が要求される層

セキュリティ対策が喫緊の課題ではない層

企業のタイプに応じて望まれる水準を設定

望まれる水準（高）

望まれる水準（中）

望まれる水準（低）アンケート結果をもとに望まれる水準や推奨される取組みを設定プロフィールから企業をタイプに分類

アンケート結果

・望まれる水準・推奨される取組み

http://www.ipa.go.jp/security/benchmark/

B.2 中小企業向け参考資料の活用

B.3 情報セキュリティセミナーの活用

B.4 自社に必要な脆弱性情報を収集：MyJVN の提供するソリューション（19年度はプロトタイプ開発）

インターネットインターネットインターネットインターネット

イントラネットイントラネットイントラネットイントラネットSIer のユーザ担当者や、

自社内システムの管理者

SIer のユーザ担当者や、

自社内システムの管理者

・セキュリティベンダのアドバイザリ

・注意喚起・緊急対策情報・セキュリティ記事

フィルタリングされた脆弱性関連情報

JVN iPedia脆弱性対策情報データベース

約約約約4,5004,5004,5004,500件件件件

利用しているIT製品の脆弱性情報だけを取り

出せる

フィルタリング結果を定期にメールでお知らせ

チェックシートで対策状況

を確認

脆弱性情報にコメントを入力して対策情報

を共有

ニュースサイトIPAサイト

セキュリティベンダ

ニュースサイトIPAサイト

セキュリティベンダ

フィルタリングされた脆弱性関連情報

IT製品利用者IT製品利用者

製品の脆弱性対策情報

MyJVN 利用者MyJVN 利用者

①インターネットには脆弱性関連情報が膨大にある。

②しかし、IT利用者は様々な悩みを持っている

④インターネット版MyJVN では・・・

⑤さらに、イントラネット版MyJVNでは・・

どう対策していいか分からな

い

様々なサイトを見て回るのに時間がかか

り大変膨大な情報の中から、欲しい情報が探せない

MyJVNMyJVNMyJVNMyJVN

③そこで、MyJVN でIT製品利用者の悩みを解決

利用者利用者利用者利用者にににに必要必要必要必要なななな情報情報情報情報をををを効率効率効率効率よくよくよくよく入手入手入手入手できできできでき、、、、情報収集時間情報収集時間情報収集時間情報収集時間のののの節約及節約及節約及節約及びびびび脆弱性対策脆弱性対策脆弱性対策脆弱性対策のすばやくのすばやくのすばやくのすばやく適切適切適切適切なななな実施実施実施実施をををを支援支援支援支援

Documents

中小企業の情報コゥポモゾ゛対策 確認手法に関する …Æ3û )Y b S( "á cH17 º _87.6% _4) K Z 8 >&表 1.1-1>' ² / ¹ b89.6% _ 3Q M d,] ¸ * 8 v b b (Ù9

中小企業の情報コゥポモゾ゛対策確認手法に関する …Æ3û )Y b S( "á cH17 º _87.6% _4) K Z 8 >&表 1.1-1>' ² / ¹ b89.6% _ 3Q M d,] ¸ * 8 v b b (Ù9