写真を拡大 (出典:英国デジタル・文化・メディア・スポーツ省 / Cyber Security Breaches Survey 2020)

本連載の2019年7月2日付の記事(注1)において、英国のデジタル・文化・メディア・スポーツ省(Department for Digital, Culture, Media and Sport)が2019年4月に発表した「Cyber Security Breaches Survey 2019」を紹介させていただいた。これは英国内の企業と慈善団体(businesses and charities)を対象として、サイバーセキュリティーに関する実態調査を行った結果をまとめたものであるが、今年の3月にこの2020年版が発表されたので、本稿では前回からの変化も確認しながら、この2020年版を紹介させていただく。

調査は前回と同じく、マーケットリサーチ会社であるIpsos MORIが担当しており、まず2019年10月から12月までの間に、ランダムに選ばれた1348の企業と337の慈善団体に対して電話調査(定量調査)を行った後、2020年の1月から2月にかけて、それらのうち30の組織に対してより詳細なインタビュー調査(定性調査)を行っている。

なお本調査においては公共機関が調査対象外となっているほか、ITを使用していなかったり、インターネットにつながっていないような組織も調査対象から外されている。

サイバーセキュリティーに責任持つ経営層増加

まず本稿のトップに掲載した図は、サイバーセキュリティーに関して責任を持つ取締役か理事を置いている組織の割合の、2016年以降の変化を示したものである。2019年版では GDPR(General Data Protection Regulation:EU一般データ保護規則)が 2018年に施行されたことによる影響が、さまざまな部分に現れたことが指摘されていたが、2019年以降もこれが増加傾向にあること、特に慈善団体(Charities)における伸びが大きいことは注目に値するであろう。

これと関連して、取締役や理事、上級管理職に対して、サイバーセキュリティーに関連して実施された事項を報告する組織も増えている。図1はそれを企業(Businesses)と慈善団体とに分けて表したものである(2019年版の紹介の時にも同じ図を掲載させていただいた)。

写真を拡大 図1. 経営層などに対するサイバーセキュリティー関連事項の報告頻度(出典:英国デジタル・文化・メディア・スポーツ省 / Cyber Security Breaches Survey 2020)

こちらでも、より大きな変化が現れているのは慈善団体の方である。慈善団体の方では最も左側の「never」(報告していない)が前回の20%から大幅に減って12%となっている。2018年版は38%であったから、2年連続の大幅減である。企業の方ではこの数字に関して変化が見られない。

一方で本報告書においては、報告頻度が減少傾向にあることが指摘されている。「少なくとも四半期に1回は報告した割合」(つまり「quarterly」「monthly」「weekly」「daily」の合計)に着目すると、2019年版の時点が最も多くなっており、2020年版では再び減少に転じている。この点に関しては個別調査の結果からも、GDPRの施行に伴って2019年に経営層などとの会話が増えたためであることが分かっているという。