SINGAPORE, July 11, 2017 (GLOBE NEWSWIRE) -- グローバルなビジネス意志決定者の多くは、間もなく導入される一般データ保護規則 (General Data Protection Regulation、GDPR) や、PCI-DSSおよびISO27001/2などのその他のコンプライアンス規定の影響について知らず、5人中1人は自社がどの規制の対象になっているかを知らないことを認めていることが、「2017年度リスク:バリュー (2017 Risk:Value) 」レポートで報告された。このレポートは、NTTグループ (NTT Group) のセキュリティ専門企業、NTTセキュリティ (NTT Security) からの委託により、事業にとっての情報セキュリティのリスクと価値に対する姿勢を調査したものである。
11ヶ国で1,350人のIT以外を担当する企業幹部を対象にした調査では、世界中の回答者のうち、自社がEU GDPRの対象になると考えているのは10人中わずか4人 (40%) であることが判明した。最も懸念されるのは、5人中1人 (19%) が、どの規制の対象になるのか知らないことを認めていることであろう。英国では、GDPRがコンプライアンスの課題であることを知っているのはわずか39%であり、20%は知らないと認めている。欧州圏外では認識度がさらに低く、GDPRが欧州市民についてのデータを保持、または収集するいかなるビジネスにも適用されるにもかかわらず、自社がGDPRの対象になると考えているのは、米国のビジネス意志決定者の4人に1人のみ、オーストラリアでは26%、香港では29%である。
同規則は2018年5月25日に施行され、1年以内にこのようなデータプライバシーおよびセキュリティについての厳しい新規制に適合する必要があり、2千万ユーロ (約26億円) または全世界の売上高の4%のいずれか高い方を上限とする罰金が科される。
データ管理と保存がGDPRの主な部分であるが、「リスク:バリュー」レポートによると、回答者の3人に1人は自社のデータがどこに保存されているかを知らず、重要なデータのすべてが安全に保存されていると答えたのはわずか47%であった。データがどこに保存されているかを知っていた回答者のうち、新しい規則が自社のデータ保存にどのように影響するかを「確実に知っている」と答えたのは、半数未満 (45%) であった。自社のデータの保存場所および自社がどのコンプライアンス規則の対象になっているかについての認識度が最も高かったのは、金融サービス・銀行業務およびコンピュータサービス・技術に従事する回答者であった。
NTTセキュリティのセキュリティ戦略・アライアンス担当SVP、ギャリー・サイダウェイ (Garry Sidaway) は次のように述べている。「不確実性の高い世界ですが、企業は2018年5月25日という日付を確実に予定に入れておく必要があります。GDPRは欧州のデータ保護施策ですが、欧州の個人から個人識別可能な情報を収集する、またはそれらの情報を保持する場合、世界中どこでも影響があります。弊社のレポートでは、まだかなりの数がこのことについて認識していないか、または無視していることが明らかになりました。残念ながら、コンプライアンスを価値がほとんど無いかまたは皆無にもかかわらずコストの高いものであると考えている組織が多いのですが、コンプライアンスの欠如により、取引に失敗したり、規制上で多額の罰金を科される可能性があるのです。」
脅威の数量化 - 評判、収入、辞職
- 8人中1人の回答者は、粗悪な情報セキュリティが自社のビジネスにとって「最大のリスク」であると答えた。リスクについて最も多かった回答は、「競合相手がマーケットシェアを獲得する」(28%) であった。
- 「リスク:バリュー」によると、意志決定者の57%が、どこかの時点でデータ侵害が生じることは不可避であると考えている。
- データ侵害には、長期的な操業能力と短期的な経済的損失の2種の影響があると考えている。過半数 (55%) は顧客の信頼の喪失、(51%)は評判へのダメージ、(43%)は経済的損失を挙げており、13%は職員の辞職、9%は上級経営陣の辞職から影響を受けると答えている。
- 復旧の推定コストは、2015年の90万7,000ドル (約1億1,000万円) から2017年の135万ドル (約1億5,400万円) に増加している。
- 収入に対する影響は2015年の12.51%から9.95%に下がったとはいえ、それでも多額である。
- セキュリティ攻撃の防止が取締役会の議題として定期的に取り上げられていると答えたのは意志決定者の半数強 (56%) のみであり、取締役会ベルでさらに真剣に受け止めるためには更なる取り組みが必要なことを示唆している。
- 回答者は、情報セキュリティに対する出費は平均して自社のIT予算のわずか15%であると推定している (但し、2014年の10%、2015年の13%からは増加している)。多数は、セキュリティに対する出費が研究開発 (31%)、営業 (28%)、マーケティング (27%) よりも少ないと回答している。
セキュリティ重視の文化を促進する必要性
- 自社に正式な情報セキュリティ方針があると答えたのは、ビジネス意志決定者の56%であり、2015年の52%から増加している。4人に1人強 (27%) は現在導入中であると回答したが、1%は方針がなく、導入予定もないと答えている。
- 大多数 (79%) は社内でセキュリティ方針が積極的に伝えられていると答えたが、従業員が完全に理解していると答えたのは半数に満たなかった (39%)。方針の伝達が平均以上であったのはドイツとオーストリア (85%)、米国 (84%)、英国 (83%) であった。
- 正式な情報方針があると答えた割合は、国によって異なっている。スウェーデンではわずか30%であったが、英国では72%が正式な方針があると答えている。業種別では、医療分野で69%の企業が正式な情報セキュリティ方針があると答えたのが最多であった。金融は僅差の(66%)であった。
- インシデント対応計画があるのは組織の半数に満たない (48%) が、31%は導入中である。しかし、インシデント対応計画の内容を完全に理解しているのは、意志決定者の回答者のうち47%のみである。
「2017年度リスク:バリュー」レポートをダウンロードするwww.nttsecurity.com/RiskValue2017
その他の「リスク:バリュー」リソースhttps://www.nttcomsecurity.com/en/templates/WideangleLandingPage.aspx?p=2875&pv=14629.
編集者への注:
調査対象
「2017年度リスク・バリュー」調査は、NTTセキュリティからの委託によりヴァンソン・ボーン (Vanson Bourne) が2017年5月に実施した。米国、英国、ドイツ、オーストリア、スイス、フランス、スウェーデン、ノルウェー、香港、オーストラリア、シンガポールで、1,350人のIT以外を担当するビジネス意志決定者 (経営幹部レベルは35%) を対象に調査を行った。複数の主要業種の従業員数500人を超える組織を選択し、回答者の約3分の1は金融サービス業であった。
ヴァンソン・ボーンについて
ヴァンソン・ボーンは、技術セクターの独立系マーケットリサーチ・スペシャリストである。リサーチに基づく同社の高信頼性・高信憑性の分析は、各業種・全主要市場における技術・ビジネス関係の役職にある上級意志決定者の意見を求める能力を駆使して、厳密なリサーチ原則を守って実施されている。詳しくは、www.vansonbourne.comを参照のこと。
NTTセキュリティについて
NTTセキュリティは、NTTグループのセキュリティ専門企業である。埋め込み型セキュリティにより、グループ企業 (ディメンションデータ (Dimension Data)、NTTコミュニケーションズ (NTT Communications)、NTTデータ (NTT DATA)) が顧客のデジタルトランスフォーメーション・ニーズに対して高信頼性のビジネスソリューションを提供できるようにしている。NTTセキュリティは、10ヶ所のSOC、7ヶ所の研究開発センター、1,500人のセキュリティ・エキスパートを擁し、世界6大陸で年間数十万件にものぼるセキュリティ・インシデントに対応している。
NTTセキュリティでは、ローカルリソースとグローバルな能力を最大限に活用してコンサルティングとマネージドサービスの適切なバランスをNTTグループ企業に提供してリソースを効果的に使用できるようにしている。NTTセキュリティは、世界最大級のICT企業であるNTTグループ (日本電信電話株式会社 (Nippon Telegraph and Telephone Corporation)) の傘下企業である。詳しくは、nttsecurity.comを参照のこと。