PwC「グロバール情報セキュリティ調査」が教える日本の課題

写真拡大

PwCコンサルティングは2016年11月、「グローバル情報セキュリティ調査2017」を発表した。サイバー攻撃の件数が増加する中、セキュリティ対策の重要性は日に日に増している。

世界でサイバーテロへの不安が広がる今、サイバー空間におけるセキュリティの重要性は日に日に増している。では、企業が多くの予算を割いて実施しているセキュリティ対策は、本当に奏功しているのだろうか。
 
PwCコンサルティングは過去20年にわたって、情報セキュリティに関する調査を世界規模で実施してきた。調査対象は世界133カ国の企業のCEO、CFO、CIOといったエグゼクティブ約1万人(うち日本企業は205人)。
 
2016年(4〜6月)実施の調査では、世界的には企業が支出する情報セキュリティ対策コストはここ数年頭打ちになっているのに対して、はじめて被害額が減少したことがわかった。過去5年間に企業が情報セキュリティに割いた予算の額は、12年の280万ドルから15年の510万ドルまで増加を続けていたが、16年は前年と同じ510万ドルで増加傾向が止まっていた。

一方、セキュリティインシデントによる想定損失額は、世界全体で6%減少していた。上記グラフのように、20%以上減少した業界もある。PwCコンサルティングの山本直樹パートナーは「ただサイバー攻撃そのものがおとなしくなってきたということではないんです」と指摘する。

大きな被害が出ていないことと、インシデントの予兆を捉えて早い段階で対策を打てるようになったことが、被害額の減少につながっているようだ。1件あたりの被害額が減少していることから、ターゲットがまだ対策が不十分な中小企業などへシフトしているとも推測できる。
 
また、セキュリティ対策予算は、金融業界やヘルスケア、自動車業界などIoT導入が進む製造業では現在も増加を続けている。

EUのプライバシー保護規制は他人事ではない
 
プライバシー保護に関する法規制の問題も、サイバーセキュリティ分野の大きなトピックだ。18年5月からEUで施行されるGDPR(一般データ保護規制)は特に厳格な規制で、世界各国がGDPRを参考にしてプライバシー保護法を制定しつつある。EU居住者の個人情報を持つすべての企業が対象となるため、世界中の企業が今まさに対策に追われている。
 
EU域内に研究開発施設を持っている製薬メーカーの多くは、早くから対策に取り組んでいるところが多い。また、ゲーム業界でもクレジット決済などを通じてEU居住民の個人情報を保有している可能性があり、対策は必須だ。

インターネット上での売買が一般化した現在では、ネット上の国境を越えた取引を通じていつの間にかEU居住者の情報を手にしている企業は実は少なくなく、注意が必要だ。
 
GDPRでは、個人情報の漏洩が見つかってから72時間以内に状況を正確に把握した上で、EUの監督当局に対して報告しなければならない。しかし、情報漏洩について短時間で正確に把握するには、普段からかなり厳格な管理、監視をしていなければ不可能だ。

しかも、規制に違反すれば、世界での年間売り上げの4%、あるいは2,000万ユーロ(約24億円)のどちらかを上限とする、巨額の罰金を科せられることとなる。

では、こうした問題に対する日本企業の対応に特徴はあるのだろうか。PwCでは日本企業に関するデータとグローバルデータの比較分析も行っている。

個人情報保護に関して重要な概念に、「匿名化」と「仮名化」がある。「匿名化」情報はいくらさかのぼっても個人を特定することはできないが、「仮名化」情報はさかのぼり、情報を総合すると個人を特定することができる。「仮名化」情報であれば、個人情報としてGDPRの対象となる。