（2）企業の対策と課題

対策の効果の検証や対策の見直し等の充実が課題

1 情報セキュリティ対策状況

　平成14年に企業が講じた情報セキュリティ対策状況としては、「パソコン等の端末にウイルスチェックプログラムを導入」が最も多く、83.8％の企業が実施している。「ファイアウォールの設置」は52.0％と、半数程度の企業が実施している。また、「特に対応していない」とする企業は2.2％にとどまり、ほとんどの企業で何らかの対策を実施している。
　しかしながら、ハードやソフトの整備に比べると、情報セキュリティを組織的に確保する上で不可欠と考えられる「社員教育」や「セキュリティポリシーの策定」はそれぞれ20.9％、19.1％と5分の1程度であり、「セキュリティ監査」によって外部者に評価してもらっている企業も6.5％にとどまっている（図表1)）。また、企業の規模別にみると、売上高の小さい企業では「特に対応していない」とする企業の率が高い（図表2)）。

図表1)　企業における情報セキュリティ対策状況（複数回答）

図表2)　売上高別にみた情報セキュリティ未実施率

　企業の危機管理に対する関心は深まっており、情報システムについて、万一の偶発事故等に備えた危機管理計画であるコンティンジェンシー・プラン（注）を既に策定している企業は17.2％であるが、策定中の企業、策定を検討している企業を加えると77.2％の企業が着手している（図表3)）。

図表3)　コンティンジェンシー・プランの策定状況

2 情報セキュリティマネジメント

　企業において情報セキュリティ対策が効果を発揮するには、情報セキュリティマネジメントとして、1)セキュリティポリシーの策定等の計画（PLAN）、2)対策の実施（DO）、3)対策の効果・有効性の検証（CHECK）、4)対策の見直し（ACTION）の4プロセスからなるPDCAサイクルを繰り返すことが必要である（図表4)）。
　サイクル段階毎の取組状況の自己評価について調査したところ、「おおむね実施できている」と評価する企業の比率は、実施（DO）については41.4％、計画（PLAN）については31.7％と比較的高い。これらに対し、検証（CHECK）は19.3％、見直し（ACTION）は13.9％にとどまっており低い（図表5)）。今後、企業において情報セキュリティ対策を充実させていく上で、対策の効果の検証や対策の見直し等の充実が課題となっている。

図表4)　情報セキュリティマネジメント

図表5)　情報セキュリティマネジメントサイクルへの取組評価

（注）コンティンジェンシー・プランとは、偶発事故や事故、不測の事態が発生した場合に、その損害を最小限に抑え、機能を迅速に復旧するための復旧計画、危機管理計画のこと