独立行政法人・情報処理推進機構(IPA)は5月27日、2024年度版「中小企業における情報セキュリティ対策に関する実態調査」を公表した。調査は、中小企業のサイバーセキュリティ対策の実態と課題を把握し、企業規模や業種ごとに効果的な対策を分析することで、サプライチェーン全体の強化を目指すもの。2016年度、2021年度に続く実施となった。

画像を拡大 サイバーインシデントの経験(2024年度版「中小企業における情報セキュリティ対策に関する実態調査」より)

調査結果によると、サイバーインシデント被害の経験(可能性も含む)を答えた中小企業は全体の約2割に上った。被害内容は、データ破壊や個人情報漏えいが35%超と最も多く、取引先への感染拡大は3.2%だった。また、自社でインシデントが発生した際、取引先に影響があった企業は約7割に達した。影響の内訳は、サービスの障害・遅延・停止による逸失利益が36%で最多、個人顧客への賠償や法人取引への補償負担(33%)が続いた。

画像を拡大 発注元からの情報セキュリティに関する要請の具体的な内容(2024年度版「中小企業における情報セキュリティ対策に関する実態調査」より)

一方、発注元や仕入れ先でインシデントが発生した場合に受ける影響については、「わからない」との回答が半数を超えた。発注元から情報セキュリティ対策の要請を受けた経験のある企業は12%で、要請内容の8割近くが秘密保持に関するものだった。

調査の詳細はIPAの公式ホームページからダウンロードできる。