～サイバー保険の認知やニーズの現状～ - IPA企業におけるサイバーリスク管理の実態調査2015 ～サイバー保険の認知やニーズの現状～

企業におけるサイバーリスク管理の実態調査2015

～サイバー保険の認知やニーズの現状～

2015年6月

目次

1.調査概要

2.結果概要

3.回答者属性

4.調査結果詳細

4-1.企業情報について 4-2.リスク管理について 4-3.情報セキュリティについて 4-4.情報セキュリティに関する事故について 4-5.サイバー保険について 4-6.セキュリティサービスの利用について

2 Copyright © 2015 独立行政法人情報処理推進機構

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

・・・・・・・・・・・・・・・

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

・・・・・・・・・・・・・

3

7

11

13

14

21

32

47

55

63

１．調査概要


１．調査概要① ①背景と目的近年、サイバー攻撃の手法が巧妙化しており、その脅威はますます高まっている。攻撃対象は、政府機関や重要インフラ企業に限らず、また企業規模の大小を問わず、あらゆる企業で被害が発生している状況にある。

サイバー攻撃による個人情報漏えい等の被害が発生した企業では、被害状況の調査や顧客対応等、様々な費用（損害）が発生する。その被害を経験した企業の約2割で、1億円以上の損害が発生したとの調査結果[1]もあり、事業継続に深刻な影響を与えることがうかがえる。

このように、企業経営におけるサイバーリスクは看過できるものではなく、事前の対策に加えて、被害が発生した状況を想定した体制整備の重要性も高まっている。

米国では、証券取引委員会（SEC）のコンプライアンス検査局（OCIE）が、サイバーリスク戦略の一環として、サイバー保険への加入を推奨しており、リスクマネジメントにおける有効な手段であるとしている。また、44％の企業がサイバー保険に加入[2]しており、その市場規模は20億ドルに達するとのデータもある。[3]

一方日本では、2012年にサイバー保険が発売されて以降、各社で補償内容や付帯サービスの拡充が行われてきており、サイバー保険の普及に向けた環境は整いつつある。しかし、サイバー保険以外のIT関連保険を含めても、その市場規模は2013年度実績で約90億円[4]に過ぎず、企業に浸透しているとはいえない状況である。

これらの背景の下、本調査は、サイバーセキュリティ上のリスクを含めた企業の経営リスク管理の実態や対処体制等の状況を把握することを目的に実施した。また、リスク対応（回避、低減、移転、保有）の一つであるリスク移転（※）としての役割を担うサイバー保険について、日本企業の認知やニーズ等に関する現状についても調査した。

（※）リスク移転に関する考え方についてはP6「参考：リスクマネジメントの考え方」を参照のこと

【参考文献】

[1]トレンドマイクロ株式会社「組織におけるセキュリティ対策実態調査2015年版」（ http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20150520054603.html）

[2]プライスウォーターハウスクーパース株式会社「グローバル情報セキュリティ調査2015」（http://www.pwc.com/jp/ja/advisory/research-insights-report/assets/pdf/information-security-survey2015.pdf）

[3]Betterley Risk Consultants, Inc.「The Betterley Report CYBER/PRIVACY INSURANCE MARKET SURVEY 2014（抜粋版）」（http://betterley.com/samples/cpims14_nt.pdf）

[4]特定非営利活動法人日本ネットワークセキュリティ協会「2014年度情報セキュリティ市場調査速報」（http://www.jnsa.org/seminar/nsf/2015/data/B1_kishiro.pdf）

Copyright © 2015 独立行政法人情報処理推進機構 4

http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20150520054603.html

http://www.pwc.com/jp/ja/advisory/research-insights-report/assets/pdf/information-security-survey2015.pdf











http://betterley.com/samples/cpims14_nt.pdf

http://www.jnsa.org/seminar/nsf/2015/data/B1_kishiro.pdf

http://www.jnsa.org/seminar/nsf/2015/data/B1_kishiro.pdf

１．調査概要② ②主な調査項目

リスク管理体制、情報セキュリティ対策や事故経験の有無、サイバー保険の認知とニーズ、など

③調査方法 Webアンケート方式：株式会社マーシュが保有するアンケートモニターに対して、

下記⑤の対象者をスクリーニングで抽出した上でアンケートを実施

④調査時期 2015年2月6日(金)～2月16日(月)

⑤調査対象者大企業(年間売上高10億円以上)、中堅企業(年間売上高１億円以上10億円未満) 、

中小企業(年間売上高１億円未満) の経営者、リスク管理責任者または担当者、ＩＴ担当責任者、計：1,773名。

内訳は以下のとおり。

（※）「リスク管理＆IT」は、リスク管理責任者または担当者、IT担当責任者を指す（兼任も含む）。


参考：リスクマネジメントの考え方


ここでは、リスクマネジメントについて、国際標準規格のISO31000：2009（JIS Q 31000：2010）と、 ISOGuide73：2009（JIS Q 0073：2010）の定義を引用して、考え方の一部を紹介する。

企業経営には、自然災害のリスク（注1）、交通事故や労災事故のリスク、サイバーセキュリティ上のリスク等、様々なリスクが存在している。それらのリスクが顕在化すると、経済的損失が発生する可能性があり、事業継続に影響を与えかねない。これらのリスクを適切に管理するため、リスクマネジメント（注2）が重要となる。 ISO31000では、図1のリスク管理のプロセスが提示されている。企業が置かれて

いる現状を把握し、リスクアセスメントを行い、リスクに対応することになる。リスク対応として以下の7つが示されており、6番目の「リスクの共有（移転）」が、本調査で登場する保険（サイバー保険等）に該当する。図2の通り、発生可能性や影響度により、そのリスクを低減、保有、回避、移転と

いった対応をとることが想定されている。サイバーリスクには、いかなる対策を実施していても、完全に排除することは困難なリスクが含まれており、サイバー攻撃による被害が発生した際に経済的損失を被る可能性がある。リスクの移転とは、そのような経済的損失を保険で充当したり、情報システムの運用を他者に委託し、サイバー攻撃による被害に対しても契約などの形で外部に移転することが該当する。

（注1）リスク：目的に対する不確かさの影響（注2）リスクマネジメント：リスクについて、組織を指揮統制するための調整された活動

コミュニケーション及び協議

モニタリング及びレビュー

組織の状況の確定

リスクアセスメント

リスク評価

リスク対応

リスク分析

リスク特定

図1：リスク管理のプロセス

リスク発生の際の損害の大きさ（影響度）

図2：リスクへの対応（概念図）（出典：IPA、情報セキュリティ教本改訂版）

リスクの発生可能性

小

低

大

高

リスク保有

リスク低減（最適化）

リスク移転

リスク回避

リスク対応（ISO31000）（1）リスクを生じさせる活動を、開始又は継続しないと決定することによって、リスクを回避すること（2）ある機会を追求するために、リスクを取る又は増加させること（3）リスク源を除去すること（4）起こり易さを変えること（5）結果を変えること（6）一つ以上の他者とリスクを共有すること（契約及びリスクファイナンシングを含む）（7）情報に基づいた意思決定によって、リスクを保有すること

回避

低減（最適化）

移転

保有

２．結果概要


２．結果概要①

１. 企業のリスク認識①

経営リスク分析について、全体の34%が実施している結果となった (P.21）。

機密情報を保有している企業は、保有していない企業よりも、経営リスク分析の実施率が、約10%高い（P23）。

経営リスク管理に関する下表の４項目について追加分析をした結果、実施している企業は、実施していない企業よりも、ＩＴ関連保険（※）の加入率が、3.2倍～4.4倍高い結果となった。経営リスク管理への関心が高い企業は、ＩＴ関連保険を利活用する割合が高いと言える。


※本調査では、コンピュータ故障に関する保険、情報漏えいに関する保険またはサイバー攻撃に関する保険を「ＩＴ関連保険」と定義している（以下同様）。また、ＩＴ関連保険について、いずれか１つ以上に加入している割合は、全体の約15％（P.20）であった。

２．結果概要②

１. 企業のリスク認識②

情報セキュリティ管理の担当役員（CISO）の有無による対策の違いを見ると、

運用面の情報セキュリティ対策では、約2.6倍

技術面の情報セキュリティ対策では、約2.3倍の差があった（P.44,46）。


※情報セキュリティ対策（運用面：Q18-1.～Q18-21. および技術面： Q19-1.～Q19-21.）の設問の取組について、「行っている」と回答した場合に１点とカウントし、合計得点の平均点を算出（最大値：21点）した。 CISOの有無について「わからない」の回答（n=102）を除いた母数にて集計。

２．結果概要③


2. サイバー保険認知度

サイバー保険の認知度は、全体の約28％（P.55）。

以下の項目に該当している場合、認知度が高い傾向にある（P.56,57）。

・情報セキュリティに関する事故を経験したことがある（約55％）。

・プライバシーマーク（Ｐマーク）を取得している（約56％）。

3. 情報セキュリティに関する事故経験

全体の約15％が、何らかの情報セキュリティに関する事故を経験している（P.47）。

企業規模別で比較すると、大企業はすべての被害項目において、事故を経験

している割合が高い。

３．回答者属性


３．回答者属性（対象者：1,773名）

12

1,000万円未満

6.7%

1,000万円～3,000万

円未満

8.3%

3,000万円～5,000万

円未満

6.7%

5,000万円～1億円未

満

11.4%

1億円～3億円未満

14.5%

3億円～5億円未

7.1%

5億円～10億円未満

9.4%


満

11.4%


満

4.3%


満

5.1%

100億円～300億円

未満

5.9%

300億円以上

9.2%

わからない

0.0%

5人未満 20.4%

5人～10人未満 12.4%

10人～20人未満 10.7%

20人～30人未満 5.4%

30人～50人未満 7.4%

50人～100人未満 10.3%

100人～200人未満 8.3%

200人～300人未満 4.6%

300人～500人未満 5.0%

500人～1,000人未満 5.2%

1,000～3,000人未満 4.5%

3,000～5,000人未満 1.6%

5,000人以上 4.2% わからない

0.1%

食

料

品

、飲

料

・

た

ば

こ

・

飼

料

製

造

業

繊

維

工

業

パ

ル

プ

・

紙

・

紙

加

工

品

製

造

業

化

学

工

業

石

油

・

石

炭

・

プ

ラ

ス

チ

ック

製

品

製

造

業

窯

業

・

土

石

製

品

製

造

業

鉄

鋼

業

非

鉄

金

属

・

金

属

製

品

製

造

業

電

気

機

械

器

具

製

造

業

情

報

通

信

機

械

器

具

製

造

業輸

送

用

機

械

器

具

製

造

業

そ

の

他

機

械

器

具

製

造

業

そ

の

他

の

製

造

業

農

林

漁

業

・

同

協

同

組

合

、鉱

業

建

設

業

電

気

･

ガ

ス

･

熱

供

給

・

水

道

業

映

像

・

音

声

情

報

制

作

・

放

送

・

通

信

業

新

聞

・

出

版

業

情

報

サー

ビ

ス

業

運

輸

業

・

郵

便

業

卸

売

業

小

売

業

金

融

業

・

保

険

業

医

療

業

（国

・

公

立

を

除

く

）

教

育

（国

・

公

立

を

除

く

）、学

習

支

援

業

そ

の

他

の

サー

ビ

ス

業

そ

の

他

2.30.6 0.4 1 0.5 0.4 0.7

1.9 2.7

0.3 1 1.7

7.3

0.7

10.3

0.9 0.6 0.3

10.5

3.6

8.1

5.54.2

2.5 1.9

24.6

5.6

0%

10%

20%

30%総従業員数

業種

売上高

４．調査結果詳細


・主たる製品・サービスについては全体的に52.3％と「BtoBがメイン（企業向け）」という回答が多く、企業規模が大きくなるほど割合が多くなる。

Q1．貴社における主たる製品・サービスについて、最も近いものをひとつだけお答えください。（１つ選択）

４-１．企業情報について①


・大企業は、ITは必須と考えている割合が、全体より高い。・中堅企業は、ITは業務を支援するツールと考えている割合が、全体より高い。・中小企業は、ITを必須と考えている割合と業務を支援するツールと考えている割合が、ほぼ同水準である。

Q2．貴社における主たるビジネスモデルとITとの関係について、最も近いものをひとつだけお答えください。（１つ選択）

４-１．企業情報について②


・自社のWebサイトが「ある」という回答が、大企業は全体に比べて約20％高いが、中小企業は全体に比べて約20％低い。

Q3．貴社には、自社のWebサイトはありますか。（１つ選択）

４-１．企業情報について③


・Webサイトの情報システムの運用・管理は「自社内で運用・管理している」という回答が全体で64％と最も多い。

Q4．自社のWebサイトが「ある」とお答えの方にお伺いします。Webサイトの情報システムの運用・管理はどのように行っていますか。最も近いものをひとつだけお答えください。（１つ選択）

４-１．企業情報について④


・大企業は、従業員の個人情報を電子データとして保有している割合が、約68％であるが、中小企業は約42％と低い。・中小企業の約20%は、いずれも電子データでは保有していない。

Q5．以下のうち、パソコン、サーバなどで電子データとして保有している情報はありますか。当てはまるものを全てお答えください。（複数選択可） ※紙媒体のみで保有している情報は除きます。

４-１．企業情報について⑤


・Q6・Q7のいずれも、大企業は、全体に比べて「10万件以上」という回答が多いが、中堅企業、中小企業は、全体に比べて「1千件未満」という回答が多い。

Q6．「自社の顧客の個人情報」を保有しているとお答えの方にお伺いします。その件数はどのくらいですか。（１つ選択）

４-１．企業情報について⑥


Q7．「取引先等から預かっている個人情報」を保有しているとお答えの方にお伺いします。その件数はどのくらいですか。（１つ選択）

・コンピュータの故障に関する保険、情報漏えいに関する保険、サイバー攻撃に関する保険のいずれかに加入している（ＩＴ関連保険の加入者）割合は全体の約１5％である。・大企業の加入率は全体より高く、中小企業は全体より低い。

Q8．貴社が加入している損害保険はありますか。当てはまるものを全てお答えください。（複数選択可）

４-１．企業情報について⑦

Copyright © 2015 独立行政法人情報処理推進機構

IT関連保険の加入者（注）下記枠内３つのうち、「１つ以上加入している」回答数：n=259（全体：1,773の14.6%）

20

（注）コンピュータ故障や情報漏えいに関しては、事業包括保険（企業財産＋賠償責任等）の特約として付帯されるケースがあるが、今回は、IT関連保険単独で回答されたものを集計しています。

Q9．貴社では、経営リスクの分析を行っていますか。（１つ選択）

・経営リスクの分析を「行っている」という回答が、大企業は全体の34.2％に比べて高いが、中堅企業、中小企業は全体に比べて低い。・どの企業もリスク管理＆IT責任者は、経営者よりもリスク分析を行っている割合が高い。

４-２．リスク管理について①



・ＩＴ関連保険の加入有無で比較すると、経営リスクの分析を行っている割合が、27.9％と71.4％で約2.5倍の差となった。



上段：Q8でＩＴ関連保険に加入していないとお答えの方下段：Q8でＩＴ関連保険に加入しているとお答えの方

ＩＴ関連保険加入無し

ＩＴ関連保険加入有り

n=

(995)

経営者 (139)

リスク管理＆IT (270)

経営者 (86)


経営者 (158)


　全　体

企業規模・役職別

大企業

中堅企業

中小企業

40.1

56.1

56.7

36.1

33.0

18.4

29.0

49.4

30.9

31.1

64.0

53.2

76.6

58.1

10.6

13.0

12.2

0.0

13.8

5.1

12.9

0% 20% 40% 60% 80% 100%


・厳格な管理を求められる機密情報を持っているかどうかで比較すると、機密情報を保有している場合は、保有していない場合と比べて、経営リスクの分析を行っている割合が約10％高い。



n=

(693)

経営者 (76)


経営者 (83)


経営者 (152)


　全　体


大企業

中堅企業

中小企業

27.4

42.1

49.1

22.9

30.3

12.5

18.2

63.5

50.0

34.3

72.3

55.6

86.8

71.2

9.1

7.9

16.7

4.8

14.1

0.7

10.6

0% 20% 40% 60% 80% 100%

行っている行っていないわからない

機密情報保有無し

機密情報保有有り

上段：Q5で機密情報を保有していないとお答えの方下段：Q5で「自社の業務上の機密情報」または「取引先等から預かっている業務上の機密情報」を保有しているとお答えの方

23

Q10．経営リスクの分析を「行っている」とお答えの方にお伺いします。分析にあたっては、外部サービス(コンサルティング等)を利用していますか。（１つ選択）

・経営リスクの分析に、外部サービス（コンサルティング等）を「利用している」という回答が、大企業は全体に比べて約5％高いが、中小企業は全体に比べて約10％低い。

４-２．リスク管理について②


Q11．貴社では、リスク管理の担当役員を任命していますか。（１つ選択）

４-２．リスク管理について③


・リスク管理の担当役員を「任命している」という回答が、大企業は全体に比べて高いが、中堅企業、中小企業は全体に比べて低い。

Q11．貴社では、リスク管理の担当役員を任命していますか。（１つ選択）

４-２．リスク管理について③


・ＩＴ関連保険の加入有無で比較すると、リスク管理の担当役員を任命している割合は21.5％と61.8％で約3倍の差となった。




Q12．貴社には、リスク管理を担当している部署・部門がありますか。（１つ選択）

４-２．リスク管理について④


・リスク管理を担当している部署・部門については、全体で「担当している部署・部門はない」という回答が、約半数以上（54.6%）と最も多い。

Q13．次のリスクは、貴社にどの程度影響を与えると考えますか。影響の程度として、それぞれ当てはまるものをお答えください。（それぞれ１つずつ選択）

４-２．リスク管理について⑤

・大企業は、全体に比べてリスクを高く考える傾向にある。・最も影響を与えると考えるのが、「自然災害」に関するリスク。次いで「事故」に関するリスク、「経済」に関するリスクと続く。・内部情報漏えいと関係の深い「労務」に関するリスクに関しては比較的高い。


（スコア）：非常に影響がある＝５、影響がある＝４、どちらともいえない＝３、影響は少ない＝２、全く影響はない＝１としてスコアを算出した。

自然災害に関するリスク（例）地震、津波、台風、竜巻、噴火、干ばつ、洪水など

事故に関するリスク（例）交通事故、労災事故、航空機事故、船舶事故、コンピュータ故障など

政治に関するリスク（例）戦争、革命、動乱、貿易摩擦、外圧など

経済に関するリスク（例）金利変動、為替変動、税制改正、金融不安など

社会に関するリスク（例）企業脅迫、誘拐、企業テロ、サイバー攻撃、産業スパイ、風評リスクなど

法務に関するリスク（例）製造物責任訴訟、知的財産訴訟、環境汚染責任訴訟、独占禁止法など

財務に関するリスク（例）債権リスク、デリバティブ投資、不良債権、資産の陳腐化など

労務に関するリスク（例）労働争議、役職員の不正、内部犯行による情報漏えい、求人難、リストラなど

全体

(1773)

経営者リスク管理＆ＩＴ経営者リスク管理＆ＩＴ経営者リスク管理＆ＩＴ

(240) (397) (177) (371) (322) (266)

Q13-1．自然災害に関するリスク (1721) 3.91 3.94 3.61 3.65 3.43 3.56 3.69

Q13-2．事故に関するリスク (1723) 3.70 3.85 3.58 3.63 3.39 3.49 3.62

Q13-3．政治に関するリスク (1702) 3.26 3.33 2.89 2.98 2.73 2.97 3.04

Q13-4．経済に関するリスク (1710) 3.71 3.64 3.32 3.34 3.20 3.37 3.43

Q13-5．社会に関するリスク (1711) 3.27 3.54 3.02 3.19 2.77 3.20 3.19

Q13-6．法務に関するリスク (1709) 3.43 3.60 3.11 3.27 2.80 3.17 3.25

Q13-7．財務に関するリスク (1709) 3.46 3.45 2.92 3.17 2.82 3.07 3.17

Q13-8．労務に関するリスク (1713) 3.52 3.66 3.15 3.44 2.74 3.18 3.30

平均 3.53 3.63 3.20 3.33 2.99 3.25 3.34

全体

(1773)


(240) (397) (177) (371) (322) (266)

Q13-1．自然災害に関するリスク (1721) 1 1 1 1 1 1 1

Q13-2．事故に関するリスク (1723) 3 2 2 2 2 2 2

Q13-3．政治に関するリスク (1702) 8 8 8 8 8 8 8

Q13-4．経済に関するリスク (1710) 2 4 3 4 3 3 3

Q13-5．社会に関するリスク (1711) 7 6 6 6 6 4 6

Q13-6．法務に関するリスク (1709) 6 5 5 5 5 6 5

Q13-7．財務に関するリスク (1709) 5 7 7 7 4 7 7

Q13-8．労務に関するリスク (1713) 4 3 4 3 7 5 4

大企業中堅企業中小企業

(637) (548) (588)

(637)

大企業中堅企業

(548)

中小企業

(588)（スコア）

（順位）

全体

(1514)


(212) (290) (156) (311) (312) (233)

Q13-1．自然災害に関するリスク (1465) 3.93 3.84 3.62 3.60 3.45 3.53 3.65

Q13-2．事故に関するリスク (1467) 3.68 3.74 3.56 3.58 3.39 3.47 3.56

Q13-3．政治に関するリスク (1449) 3.23 3.21 2.84 2.96 2.72 2.96 2.98

Q13-4．経済に関するリスク (1456) 3.68 3.55 3.29 3.30 3.21 3.34 3.39

Q13-5．社会に関するリスク (1457) 3.18 3.40 2.97 3.08 2.76 3.15 3.09

Q13-6．法務に関するリスク (1453) 3.40 3.48 3.03 3.21 2.78 3.11 3.16

Q13-7．財務に関するリスク (1453) 3.43 3.32 2.87 3.12 2.82 3.00 3.09

Q13-8．労務に関するリスク (1456) 3.50 3.54 3.08 3.37 2.72 3.10 3.21

全体

(259)


(28) (107) (21) (60) (10) (33)

Q13-1．自然災害に関するリスク (256) 3.74 4.21 3.52 3.95 2.90 3.76 3.93 +0.29

Q13-2．事故に関するリスク (256) 3.81 4.14 3.76 3.88 3.40 3.64 3.92 +0.36

Q13-3．政治に関するリスク (253) 3.52 3.62 3.29 3.10 2.90 3.03 3.36 +0.38

Q13-4．経済に関するリスク (254) 3.93 3.89 3.52 3.53 3.00 3.56 3.70 +0.32

Q13-5．社会に関するリスク (254) 3.93 3.92 3.38 3.76 3.00 3.53 3.75 +0.66

Q13-6．法務に関するリスク (256) 3.67 3.89 3.62 3.58 3.40 3.63 3.72 +0.55

Q13-7．財務に関するリスク (256) 3.67 3.79 3.33 3.44 2.80 3.56 3.59 +0.50

Q13-8．労務に関するリスク (257) 3.63 3.96 3.62 3.76 3.40 3.70 3.80 +0.58

ＩＴ関連保険加入なしとの差

大企業

(135)

中堅企業中小企業

(81) (43)

大企業中堅企業中小企業

(502) (467) (545)

・ＩＴ関連保険の加入有無で比較すると、IT関連保険の加入者は、社会、労務、法務に関するリスクを高く考えている。

４-２．リスク管理について⑤




Q13．次のリスクは、貴社にどの程度影響を与えると考えますか。影響の程度として、それぞれ当てはまるものをお答えください。（それぞれ１つずつ選択）（スコア）：非常に影響がある＝５、影響がある＝４、どちらともいえない＝３、影響は少ない＝２、全く影響はない＝１としてスコアを算出した。


・全体の57.6%が、何らかの場において全役員によって議論・共有されている。・「取締役会で議論・共有している」という回答が、大企業は全体に比べて高い。

Q14．貴社では、リスク管理について経営者・役員の間でどのように共有されていますか。最も当てはまるものをひとつだけお答えください。（１つ選択）

４-２．リスク管理について⑥


57.6％

Q14．貴社では、リスク管理について経営者・役員の間でどのように共有されていますか。最も当てはまるものをひとつだけお答えください。（１つ選択）

・ＩＴ関連保険の加入者に限定した場合、全体の81.9%が、何らかの場において全役員によって議論・共有されている。

４-２．リスク管理について⑥


53.5％

81.9％




・情報セキュリティ管理の担当役員（CISO）を任命している企業は、全体で23.4％である。

Q15．貴社では、情報セキュリティ管理の担当役員（CISO）を任命していますか。（１つ選択）

４-３．情報セキュリティについて①


n=

(349)

経営者 (51)


経営者 (14)


経営者 (9)


　全　体


大企業

中堅企業

中小企業

49.9

60.8

58.7

64.3

31.7

22.2

30.8

45.6

35.3

37.7

35.7

61.0

77.8

61.5

4.6

3.9

3.6

0.0

7.3

0.0

7.7

0% 20% 40% 60% 80% 100%

Q15．貴社では、情報セキュリティ管理の担当役員（CISO）を任命していますか。（１つ選択）

・個人情報保護法の対象事業者となる個人情報を5千件以上保有している場合、 5千件未満保有している場合と比較して、CISOを任命している割合が約2.5倍高い。

33

４-５．情報セキュリティについて①

n=

(713)

経営者 (58)


経営者 (83)


経営者 (156)


　全　体


大企業

中堅企業

中小企業

20.2

31.0

44.3

6.0

19.2

15.4

14.1

77.3

69.0

54.6

94.0

74.0

83.3

83.8

2.5

0.0

1.0

0.0

6.8

1.3

2.1

0% 20% 40% 60% 80% 100%

任命している任命していないわからない

上段：Q6・Q7で顧客の個人情報を5千件未満保有しているとお答えの方下段：Q6・Q7で顧客の個人情報を5千件以上保有しているとお答えの方

個人情報5千件未満の回答者のみ

個人情報5千件以上の回答者のみ


Q16．貴社では、情報セキュリティ管理の担当部署・部門を置いていますか。（１つ選択）

４-３．情報セキュリティについて②


・大企業に関しては特定の部署・部門が情報セキュリティ管理の仕事を兼務している割合が41.4％と最も高いが、全体では特定の部署・部門を置いていない割合が、54.7％と最も高い。

n=

(349)

経営者 (51)


経営者 (14)


経営者 (9)


　全　体


大企業

中堅企業

中小企業

33.5

41.2

43.1

14.3

20.7

0.0

19.2

43.6

31.4

44.3

50.0

46.3

55.6

46.2

19.8

21.6

10.2

35.7

30.5

44.4

26.9

3.2

5.9

2.4

0.0

2.4

0.0

7.7

0% 20% 40% 60% 80% 100%

Q16．貴社では、情報セキュリティ管理の担当部署・部門を置いていますか。（１つ選択）

・個人情報を5千件以上保有している場合、5千件未満保有している場合と比較して、担当部署・部門を置く割合が、全体で約2倍の差がある。

35

４-５．情報セキュリティについて②

n=

(713)

経営者 (58)


経営者 (83)


経営者 (156)


　全　体


大企業

中堅企業

中小企業

7.3

5.2

25.8

2.4

7.3

2.6

3.5

30.3

55.2

47.4

24.1

38.4

8.3

26.1

61.2

39.7

23.7

73.5

53.1

88.5

68.3

1.3

0.0

3.1

0.0

1.1

0.6

2.1

0% 20% 40% 60% 80% 100%

専任部署・部門がある特定の部署・部門が兼務している置いていない知らない




37.6％

77.1％


Q17．貴社が、情報セキュリティ上のリスクとして捉えているものはありますか。リスクが重大な順に、1番目～3番目までそれぞれお答えください。（１つ選択）

Q17-1．１番目（最も重大）

４-３．情報セキュリティについて③

・「外部からの攻撃に起因する情報漏えいやシステムの悪用等」が、全体で41.7％と情報セキュリティ上のリスクとして最も重大だと考えている。


・IT関連保険の加入有無で比較すると、加入有りの方が、「外部からの攻撃に起因する情報漏えいやシステムの悪用」を、より重大だと考えている。

４-３．情報セキュリティについて③


Q17．貴社が、情報セキュリティ上のリスクとして捉えているものはありますか。リスクが重大な順に、1番目～3番目までそれぞれお答えください。（１つ選択）

37

（スコア）：１番目＝３、２番目＝２、３番目＝１としてスコアを算出。




・すべての項目について、取り組みを「行っている」という回答が、大企業ほど高く、企業規模が小さくなるほど低い。

Q18．貴社の情報セキュリティに関する取り組みについてお聞かせください。次の取り組みを行っているか、行っていないか、それぞれお答えください。（それぞれ１つずつ選択）

単位（％）

38

４-３．情報セキュリティについて④


※「行っている」とお答えの方の割合

・情報セキュリティマネジメントシステム（ISMS）の認証を取得している割合は、全体で19.7%である。



Q18．貴社の情報セキュリティに関する取り組みについてお聞かせください。次の取り組みを、行っているか、行っていないか、それぞれお答えください。（それぞれ１つずつ選択） Q18-17．情報セキュリティマネジメントシステム（ISMS）の認証取得

39

n=

(259)

経営者 (28)


経営者 (21)


経営者 (10)


　全　体


大企業

中堅企業

中小企業

52.5

64.3

65.4

28.6

48.3

30.0

30.3

42.9

25.0

33.6

66.7

50.0

70.0

51.5

4.6

10.7

0.9

4.8

1.7

0.0

18.2

0% 20% 40% 60% 80% 100%

n=

(1514)

経営者 (212)


経営者 (156)


経営者 (312)


　全　体


大企業

中堅企業

中小企業

14.1

17.5

30.3

7.7

13.5

3.2

10.3

75.2

58.0

59.7

87.2

74.0

93.3

79.4

10.8

24.5

10.0

5.1

12.5

3.5

10.3

0% 20% 40% 60% 80% 100%

Q18．貴社の情報セキュリティに関する取り組みについてお聞かせください。次の取り組みを、行っているか、行っていないか、それぞれお答えください。（それぞれ１つずつ選択） Q18-17．情報セキュリティマネジメントシステム（ISMS）の認証取得

40

・ＩＴ関連保険の加入有無で比較すると、IT関連保険の加入者は、ISMSの認証を取得している割合が全体で約3.7倍となる。






・プライバシーマーク（Pマーク）を取得している割合は、全体に比べて大企業は高い。

Q18．貴社の情報セキュリティに関する取り組みについてお聞かせください。次の取り組みを、行っているか、行っていないか、それぞれお答えください。（それぞれ１つずつ選択） Q18-18．プライバシーマーク（Pマーク）の取得

41

注：顧客の個人情報保有の有無は考慮していない。




・ＩＴ関連保険の加入有無で比較すると、IT関連保険の加入者は、プライバシーマーク（Pマーク）を取得している割合が全体で約3.7倍となる。

Copyright © 2015 独立行政法人情報処理推進機構注：顧客の個人情報保有の有無は考慮していない。 42






・個人情報が5千件以上の場合、5千件未満の場合と比較して、プライバシーマーク（Pマーク）を取得する割合が全体で約3倍となる。

43

４-５．情報セキュリティについて④

n=

(349)

経営者 (51)


経営者 (14)


経営者 (9)


　全　体


大企業

中堅企業

中小企業

45.3

51.0

53.9

35.7

36.6

11.1

23.1

47.9

35.3

43.7

64.3

52.4

88.9

61.5

6.9

13.7

2.4

0.0

11.0

0.0

15.4

0% 20% 40% 60% 80% 100%





※各設問の取組について、「行っている」と回答した場合に１点とカウントし、合計得点の平均点を算出（最大21点）。

・情報セキュリティ対策（運用面）を行っていると回答した項目が、CISO、情報セキュリティ部門の有無によって、全体で約2.6～2.8倍の差がある。

Q18．貴社の情報セキュリティに関する取り組みについてお聞かせください。次の取り組みを行っているか、行っていないか、それぞれお答えください。（それぞれ１つずつ選択）

単位（点）



CISO有無 ×Q18対策取組

情報ｾｷｭﾘﾃｨ部門有無 ×Q18対策取組

44

・技術面の対策として、「各種サーバ・クライアント向けウイルス対策」、「ファイアウォール」を実施している企業の割合が高い。

Q19．貴社のシステム対応として、どのようなことを実施していますか。次のそれぞれの項目について、実施しているか、していないか、それぞれお答えください。（それぞれ１つずつ選択）

単位（％）

45



※「実施している」とお答えの方の割合

・情報セキュリティ対策（技術面）を行っていると回答した項目が、CISO、情報セキュリティ部門の有無によって、全体で約2.3倍の差がある。

Q19．貴社のシステム対応として、どのようなことを実施していますか。次のそれぞれの項目について、実施しているか、していないか、それぞれお答えください。（それぞれ１つずつ選択）

単位（点）



※各設問の取組について、「実施している」と回答した場合に１点とカウントし、合計得点の平均点を算出（最大21点）。

CISO有無 ×Q19対策実施

情報ｾｷｭﾘﾃｨ部門有無 ×Q19対策実施

46

・全体の約15％が、何らかの情報セキュリティに関する事故を経験している。・企業規模別で比較すると、大企業はすべての被害項目において、事故を経験している割合が高い。

Q20．貴社では、過去５年間で情報セキュリティに関する事故（サイバー攻撃の発生等も含む）を経験したことがありますか。次の事故について、貴社で経験したことがあるかどうか、それぞれ当てはまるものをお答えください。（それぞれ１つずつ選択）単位（％）

47

４-４．情報セキュリティに関する事故について①


下記事故のうち、「１つ以上経験したことがある」回答数：n=271（全体：n=1,773の15.3%）

Q21．情報セキュリティに関する事故（サイバー攻撃の発生等も含む）について、貴社ではどのように思っていますか。（１つ選択）

４-４．情報セキュリティに関する事故について②

・約半数が、情報セキュリティに関する事故にあう可能性はある、と答えている。・すべての企業規模で、経営者は相対的に、事故にあう可能性を低く考えている。


n=

(1773)

経営者 (240)

リスク管理＆ IT (397)

経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

7.1

8.3

12.8

2.8

5.4

2.8

7.5

40.9

43.8

49.9

34.5

43.4

30.7

38.3

43.2

34.6

31.0

52.5

46.3

52.2

47.7

3.9

4.2

1.2

5.6

3.0

8.4

2.3

4.9

9.2

5.1

4.5

1.9

5.9

4.1

0% 20% 40% 60% 80% 100%

今後、事故にあう可能性は高いと思う今後、事故にあう可能性はあると思う

今後、事故にあう可能性はゼロではないが少ないと思う今後、事故にあう可能性は全くないと思う

わからない48％

n=

(259)

経営者 (28)


経営者 (21)


経営者 (10)


　全　体


大企業

中堅企業

中小企業

17.4

17.9

24.3

4.8

13.3

0.0

15.2

48.3

46.4

53.3

42.9

46.7

40.0

42.4

31.3

28.6

20.6

42.9

38.3

50.0

42.4

2.3

7.1

0.0

9.5

1.7

10.0

0.0

0.8

0.0

1.9

0.0

0.0

0.0

0.0

0% 20% 40% 60% 80% 100%

今後、事故にあう可能性は高いと思う今後、事故にあう可能性はあると思う

今後、事故にあう可能性はゼロではないが少ないと思う今後、事故にあう可能性は全くないと思う

わからない

・IT関連保険の加入者に限定すると、約3分の2(65.7%)が、情報セキュリティに関する事故にあう可能性はある、と考えている。

４-４．情報セキュリティに関する事故について②


ＩＴ関連保険に加入している回答者

Q21．情報セキュリティに関する事故（サイバー攻撃の発生等も含む）について、貴社ではどのように思っていますか。（１つ選択）

※Q8でＩＴ関連保険に加入しているとお答えの方

65.7％

単位（%)全体

(1773)経営者リスク管理＆ＩＴ経営者リスク管理＆ＩＴ経営者リスク管理＆ＩＴ

(240) (397) (177) (371) (322) (266)

Q22-1．顧客情報が盗まれる（流出する） 46.3 69.6 38.4 54.7 27.0 49.6 49.5Q22-2．業務情報（機密情報等）が盗まれる（流出する） 48.8 70.2 38.4 52.8 30.1 46.7 49.7Q22-3．Webサイトが改ざんされる 34.2 53.4 18.6 33.7 19.3 32.0 33.8Q22-4．Webサイトがサイバー攻撃の踏み台として利用される 34.2 52.7 20.9 34.8 19.6 32.0 34.1Q22-5．Webサイトの負荷がサイバー攻撃によって高まり利用できなくなる 32.9 50.7 20.3 30.7 15.5 29.3 31.5Q22-6．業務サーバの内容が改ざん・破壊される 36.3 56.9 21.5 34.5 19.3 30.5 35.1Q22-7．業務サーバ、Ｗｅｂサーバがウイルスに感染する 45.4 60.7 35.6 43.9 28.9 46.6 44.7Q22-8．経営陣による記者会見を開催する 21.7 40.6 8.5 20.2 5.9 16.2 20.6Q22-9．インターネット上で風評被害が広がる 30.4 47.8 18.6 32.0 17.7 28.2 30.9Q22-10．新聞等マスコミで騒がれる 25.4 43.8 10.7 25.4 9.6 19.9 24.4Q22-11．被害者から集団訴訟を起こされる 19.2 39.0 8.5 19.6 7.8 18.0 20.4

大企業中堅企業中小企業(637) (548) (588)

Q22．以下には、情報セキュリティに関する事故の種類や、その事故にまつわる事態をあげています。貴社で、懸念している事故や事態はありますか。それぞれ当てはまるものをお答えください。（それぞれ１つずつ選択）

・「情報漏えい」と「ウイルス感染」を懸念している割合が、全体的に高い。・すべての項目で、経営者はリスク管理＆ＩＴ責任者よりも、懸念が少ない。

４-４．情報セキュリティに関する事故について③


「懸念している」の割合

Q22．以下には、情報セキュリティに関する事故の種類や、その事故にまつわる事態をあげています。貴社で、懸念している事故や事態はありますか。それぞれ当てはまるものをお答えください。（それぞれ１つずつ選択）

・IT関連保険の加入者は、情報セキュリティに関する事故の懸念が、全般的に高い。

ＩＴ関連保険加入無しの「懸念している」の割合

４-４．情報セキュリティに関する事故について③



ＩＴ関連保険加入有りの「懸念している」の割合

Q23．情報セキュリティ対策について、今後、予算や体制等を充実させる予定がありますか。（１つ選択）

４-４．情報セキュリティに関する事故について④

・全体の半数以上（57.5%）の企業が、「現状維持」と回答している。・大企業ほど、「充実させる予定がある」と回答した割合が高い。


４-４．情報セキュリティに関する事故について⑤

53

Q24．情報セキュリティに関する事故（サイバー攻撃の発生等も含む）への対策として行っていること、或いは、今後検討する予定がありますか。それぞれ最も当てはまるものをお選びください。（それぞれ１つずつ選択）

Q24-1．事故発生時の緊急連絡体制の構築

・全体の半数以上が、実施済みまたは検討中と回答している。・どの層においても、経営者より、リスク管理＆ＩＴ責任者の方が、実施済みと回答している割合が高い。


Q24-2．事故対応の手順の確立

57.8％

55.8％

・大企業ほど｢実施済み｣の割合が高く、企業規模が小さくなるほど「実施済み」の割合が低い。

54

Q24．情報セキュリティに関する事故（サイバー攻撃の発生等も含む）への対策として行っていること、或いは、今後検討する予定がありますか。それぞれ最も当てはまるものをお選びください。（それぞれ１つずつ選択）

Q24-3．社外との協力体制の構築

４-４．情報セキュリティに関する事故について⑤


Q24-4．資金準備（緊急時の対応費用）

Q25．あなたご自身は、サイバー保険（サイバー攻撃の被害にあったときの補償に特化した保険）があることをご存知ですか。（１つ選択）

・全体で、サイバー保険の内容を知っている割合は、約3割（28.2%）である。・大企業のリスク管理＆ IT責任者は、サイバー保険について認知している割合が、4割を超える（41.8%）。

55

n=

(1773)

経営者 (240)


経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

9.4

9.2

15.1

7.3

8.4

6.8

7.1

18.8

13.3

26.7

19.8

20.2

10.6

19.5

29.6

32.1

20.7

31.1

32.6

28.3

36.9

42.2

45.4

37.5

41.8

38.8

54.3

36.5

0% 20% 40% 60% 80% 100%

保険の内容（対象となる事故、補償内容など）を知っている保険の内容について、大まかには知っている

内容は知らないが、名前だけは知っている知らない

４-５．サイバー保険について①


28.2％

41.8％


・情報セキュリティに関する何らかの事故を経験した回答者に限定すると、サイバー保険の内容を知っている割合は、全体で半数以上（55.4%）である。



※Q20-1.～Q20-7.のいずれかで、「情報セキュリティに関する事故を経験したことがある」とお答えの方

56

55.4％


・Pマークを取得している回答者に限定すると、サイバー保険の内容を知っている割合は、全体で半数以上（56％）である。



※Q18-18で、「プライバシーマーク（Ｐマーク）を取得している」とお答えの方

57

56％

n=

(349)

経営者 (51)


経営者 (14)


経営者 (9)


　全　体


大企業

中堅企業

中小企業

20.1

25.5

22.8

7.1

17.1

22.2

7.7

31.2

15.7

35.9

28.6

30.5

22.2

38.5

21.5

31.4

15.6

7.1

30.5

11.1

23.1

27.2

27.5

25.8

57.1

22.0

44.4

30.8

0% 20% 40% 60% 80% 100%


・個人情報の保有数が5千件以上の場合、5千件未満の場合と比較して、サイバー保険の認知率が全体的に約1.7倍となる。



n=

(713)

経営者 (58)


経営者 (83)


経営者 (156)


　全　体


大企業

中堅企業

中小企業

8.3

8.6

11.3

12.1

6.2

6.4

8.5

21.9

13.8

40.2

22.9

24.3

13.5

18.3

31.3

37.9

18.6

31.3

29.9

29.5

40.9

38.6

39.7

29.9

33.7

39.6

50.6

32.4

0% 20% 40% 60% 80% 100%

保険の内容（対象となる事故、補償内容など）を知っている保険の内容について、大まかには知っている

内容は知らないが、名前だけは知っている知らない




30.2％

51.3％

n=

顧客情報が盗まれる

（流出する

）

業務情報

（機密情報

等

）が盗まれる

（流

出する

）

業務サー

バの内容が

改ざん・破壊される

業務サー

バ

、Web

サー

バがウイルスに

感染する

Webサイトが改ざ

んされる

Webサイトがサイ

バー

攻撃の踏み台と

して利用される

Webサイトの負荷

がサイバー

攻撃に

よ

って高まり利用で

きなくなる

その他

いずれの被害につい

ても保険での補償は

不要

(1773) 50.2 44.3 30.3 28.8 27.7 24.2 21.8 0.5 30.7

経営者 (240) 50.8 48.8 36.7 32.5 29.6 27.1 23.3 0.8 34.2

リスク管理＆IT (397) 59.2 50.6 36.0 31.0 34.5 33.0 31.7 1.0 19.4

経営者 (177) 40.1 34.5 19.2 23.2 18.1 16.4 16.9 0.0 39.5

リスク管理＆IT (371) 53.9 48.5 35.0 32.9 30.7 25.9 21.0 0.0 25.6

経営者 (322) 40.1 28.0 18.9 19.3 17.1 12.7 10.9 0.6 50.6

リスク管理＆IT (266) 56.0 51.1 30.5 31.6 30.8 25.2 22.9 0.0 21.8

※全体比：10pt以上=ピンクの網掛け、5pt以上=オレンジの網掛け、5pt以下=水色の網掛け、10pt以下=青色の網掛け　で表記

　全　体


大企業

中堅企業

中小企業

0%

20%

40%

60%全体

Q26．貴社では、どのような情報セキュリティに関する事故に対して保険で対応してもらいたいですか。（複数選択可）

・全体的に顧客情報漏えい、業務情報漏えいの順に保険ニーズが高い。・大企業のリスク管理＆ＩＴ責任者の保険ニーズが高い。

４-５．サイバー保険について②


Q27．情報セキュリティに関する事故にあったときに、損害保険で補償してもらいたい費用はありますか。当てはまるものを全てお答えください。（複数選択可）

４-５．サイバー保険について③


・自社の情報機器に関するデータ復元費用や修理費用、ウイルスの除去費用に対する保険ニーズが高く、広報、会見関連の費用に対する保険ニーズは低い。

n=

消失

、破損したデー

タを

復元する費用

情報機器の修理費用

ウイルスの除去費用

損害賠償を請求された際

に支払う賠償金

営業中止に伴う喪失利益

損害賠償を請求された際

に掛かる訴訟費用

弁護士費用

被害者へのお見舞金・見

舞品費用

営業継続に必要な追加費

用原因調査

、被害調査の費

用公的機関に支払う課徴金

被害者への通知にかかる

費用

（DM作成・発送費

用等

）

再発防止のためにかかる

費用

広報専門コンサルタント

へのコンサルテ

ィング費

用会見開催費用

その他

(1228) 64.9 59.2 59.1 53.6 48.8 44.1 42.3 42.2 40.9 34.9 28.7 27.0 20.1 14.9 12.7 0.4

経営者 (158) 73.4 60.8 63.9 60.1 59.5 50.6 46.2 50.0 54.4 42.4 36.7 30.4 24.1 20.3 17.1 1.3

リスク管理＆IT (320) 59.9 56.3 53.6 52.3 50.0 45.5 38.3 44.1 42.3 36.9 30.6 29.3 19.8 17.1 16.2 0.5

経営者 (107) 59.8 56.1 59.8 52.3 47.7 43.0 46.7 41.1 38.3 36.4 25.2 22.4 23.4 14.0 13.1 -

リスク管理＆IT (276) 61.1 57.1 51.6 49.2 47.6 41.3 37.3 37.3 38.9 24.6 25.4 20.6 16.7 12.7 10.3 -

経営者 (159) 65.4 63.5 61.6 50.9 39.0 42.1 45.3 37.7 36.5 27.7 22.6 23.9 16.4 11.9 8.2 0.6

リスク管理＆IT (208) 59.6 50.6 60.7 53.9 43.8 39.3 39.3 34.8 41.6 29.2 24.7 25.8 12.4 10.1 10.1 -

※全体比：10pt以上=ピンクの網掛け、5pt以上=オレンジの網掛け、5pt以下=水色の網掛け、10pt以下=青色の網掛け　で表記

中堅企業

中小企業


　全　体

大企業

0%

20%

40%

60%

80%全体

※Q26で「保険で対応してもらいたい」とお答えの方

単位（%)

n=

百万円未

満百万円～

5百万円

未満

5百万円

～

1千万

円未満

1千万円

～

2千万

円未満

2千万円

～

5千万

円未満

5千万円

～

1億円

未満

1億円以

上金額はわ

からない

Q28-1．情報機器の修理費用 (727) 24.5 20.5 8.9 7.8 2.5 1.7 2.3 31.8Q28-2．消失、破損したデータを復元する費用 (797) 24.7 18.3 9.7 7.2 2.9 2.3 2.4 32.6Q28-3．ウイルスの除去費用 (726) 34.0 18.0 8.3 4.7 0.7 1.4 1.5 31.4Q28-4．営業中止に伴う喪失利益 (599) 7.3 14.9 14.0 9.3 5.2 4.3 7.7 37.2Q28-5．営業継続に必要な追加費用 (502) 10.0 16.1 12.7 10.4 5.2 3.4 5.4 36.9Q28-6．損害賠償を請求された際に支払う賠償金 (658) 7.8 8.2 10.6 9.0 4.1 6.4 10.0 43.9Q28-7．被害者へのお見舞金・見舞品費用 (518) 13.9 11.4 10.4 8.3 3.5 3.3 5.8 43.4Q28-8．損害賠償を請求された際に掛かる訴訟費用 (541) 8.5 12.4 11.6 8.1 4.8 4.6 6.1 43.8Q28-9．公的機関に支払う課徴金 (353) 11.0 11.9 8.2 8.2 4.5 2.8 5.1 48.2Q28-10．弁護士費用 (519) 11.8 20.4 11.2 7.5 3.5 1.5 2.7 41.4Q28-11．原因調査、被害調査の費用 (429) 14.2 15.6 9.8 7.0 3.3 2.8 2.6 44.8Q28-12．被害者への通知にかかる費用（DM作成・発送費用等） (332) 18.7 16.6 7.5 9.0 1.8 2.4 2.1 41.9Q28-13．会見開催費用 (156) 15.4 14.1 7.1 7.1 2.6 1.3 3.8 48.7Q28-14．広報専門コンサルタントへのコンサルティング費用 (183) 10.4 17.5 6.0 8.2 3.3 2.2 3.8 48.6Q28-15．再発防止のためにかかる費用 (247) 15.8 12.1 7.7 8.1 4.0 2.8 4.9 44.5

Q28．損害保険で補償してもらいたい費用についてお伺いします。それぞれの費用について、どの程度の金額を損害保険で補償してもらいたいですか。（それぞれ１つずつ選択）

・保険で補償してもらいたい項目のうち、保険金額を最も高く考えられているのは「損害賠償を請求された際に支払う賠償金」である。・会見費用、広報コンサルティング費用は、保険金額が「わからない」という回答が最も多い。

４-５．サイバー保険について④


※Q27で補償してもらいたいと選択した項目について、引き続き回答いただいております。

※各項目の「金額はわからない」以外の中で一番割合が大きい数字を赤で塗り潰しております。

n=

(1228)

経営者 (158)


経営者 (107)


経営者 (159)


　全　体


大企業

中堅企業

中小企業

30.0

12.0

7.8

45.8

26.1

63.5

49.6

14.2

10.8

10.9

17.8

17.4

10.1

18.8

7.9

7.0

11.2

6.5

10.1

5.7

2.9

9.8

13.3

12.2

12.2

12.3

1.2

5.3

11.4

12.7

19.7

3.7

12.3

1.9

8.1

5.5

6.3

15.6

0.0

1.9

0.0

0.9

21.2

38.0

22.5

14.0

19.9

17.6

14.4

0% 20% 40% 60% 80% 100%

10万円未満 10万円～30万円未満 30万円～50万円未満

50万円～100万円未満 100万円～300万円未満 300万円以上

わからない

Q29．貴社が、サイバー保険（サイバー攻撃の被害にあったときの補償に特化した保険）に加入する場合、年間保険料はどの程度を想定しますか。（１つ選択）

・年間保険料30万円未満と想定している割合が、全体の44.2％である。・企業規模が小さい程、保険料負担を低く抑えたい傾向が見られる。

４-５．サイバー保険について⑤


※Q26で「保険で対応してもらいたい」とお答えの方

44.2％

n=

(1773)

経営者 (240)


経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

13.8

17.1

23.4

9.0

13.5

4.3

11.3

35.4

33.8

39.8

35.0

39.1

22.7

41.0

31.3

19.6

17.9

39.0

28.3

53.4

34.2

19.5

29.6

18.9

16.9

19.2

19.6

13.5

0% 20% 40% 60% 80% 100% n=

(1773)

経営者 (240)


経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

14.1

19.2

20.9

12.4

12.9

5.9

12.0

36.0

32.5

42.1

33.9

42.4

23.0

38.4

30.5

17.9

18.4

36.7

26.7

53.1

33.8

19.4

30.4

18.6

16.9

18.1

18.0

15.8

0% 20% 40% 60% 80% 100%

n=

(1773)

経営者 (240)


経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

15.2

18.8

24.4

13.6

14.0

5.0

13.2

35.5

32.5

37.8

33.3

41.5

23.0

43.2

30.3

19.2

19.4

36.2

26.4

53.7

29.7

19.0

29.6

18.4

16.9

18.1

18.3

13.9

0% 20% 40% 60% 80% 100%n=

(1773)

経営者 (240)


経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

14.2

16.3

25.7

10.2

14.0

3.4

10.9

34.6

35.0

39.0

33.9

39.9

22.0

35.7

31.4

17.9

17.1

39.5

25.6

56.2

37.2

19.9

30.8

18.1

16.4

20.5

18.3

16.2

0% 20% 40% 60% 80% 100%

Q30．貴社に、サイバー攻撃等による被害が発生した場合、外部の専門企業（情報セキュリティサービス会社等）を利用しますか。次のサービスについて、外部専門企業を利用するかしないか、それぞれ当てはまるものをお答えください。（それぞれ１つずつ選択）

・外部の専門企業による支援について、「利用する」と回答した割合が最も高いのは、「データ復旧支援」。次いで「発生原因・攻撃状況の調査支援」、「システム改修、再構築支援」と続く（以下Q30共通）。

Q30-1．対応全体のコントロール（状況管理、進捗管理）支援

Q30-2．証拠・痕跡保全の支援 Q30-4．被害拡大防止の支援

63

Q30-3．発生原因・攻撃状況の調査支援


２位：50.7％

４-６．セキュリティサービスの利用について①

n=

(1773)

経営者 (240)


経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

11.1

10.8

18.4

7.9

11.6

3.4

10.9

32.4

30.8

39.6

31.6

35.9

20.8

33.1

35.2

24.6

22.7

40.1

31.5

56.5

39.5

21.3

33.8

19.4

20.3

21.0

19.3

16.5

0% 20% 40% 60% 80% 100%n=

(1773)

経営者 (240)


経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

11.7

14.2

22.1

10.2

8.6

2.8

9.8

33.1

31.3

38.5

30.5

37.7

21.1

36.5

33.8

21.7

20.2

39.5

31.8

56.5

36.8

21.4

32.9

19.2

19.8

21.8

19.6

16.9

0% 20% 40% 60% 80% 100%

n=

(1773)

経営者 (240)


経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

9.4

10.0

18.2

6.8

7.5

2.8

8.3

29.4

26.7

37.3

27.1

34.5

15.8

30.8

39.1

29.2

25.2

45.8

35.3

60.9

43.6

22.1

34.2

19.4

20.3

22.7

20.5

17.3

0% 20% 40% 60% 80% 100%n=

(1773)

経営者 (240)


経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

12.7

16.7

20.7

11.9

11.1

4.7

10.2

12.7

16.7

20.7

11.9

11.1

4.7

10.2

30.3

17.9

19.6

35.6

25.3

52.5

34.2

19.9

30.8

18.9

16.9

18.6

19.3

15.8

0% 20% 40% 60% 80% 100%


Q30-5．被害状況調査の支援 Q30-7．広報・メディア対応（謝罪・会見・告知）支援

Q30-8．サイバーセキュリティ対応計画の改善支援

64

Q30-6．（情報漏えい等の）被害者への謝罪等の対応支援



n=

(1773)

経営者 (240)


経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

17.5

20.0

24.9

15.8

17.5

9.6

14.7

36.5

32.1

38.8

35.6

39.9

29.5

41.4

27.2

17.1

17.6

32.2

24.8

45.0

29.4

18.8

30.8

18.7

16.4

17.8

15.8

14.7

0% 20% 40% 60% 80% 100%

n=

(1773)

経営者 (240)


経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

14.7

18.3

23.9

13.0

13.8

6.5

10.2

35.4

31.7

41.1

35.0

38.8

21.1

42.9

30.3

17.5

16.9

33.9

29.1

54.3

31.9

19.6

32.5

18.1

18.1

18.3

18.0

15.0

0% 20% 40% 60% 80% 100%

n=

(1773)

経営者 (240)


経営者 (177)


経営者 (322)


　全　体


大企業

中堅企業

中小企業

13.4

15.8

24.4

13.0

10.0

5.3

9.8

34.4

32.1

39.5

31.6

41.3

20.2

38.4

31.8

19.6

17.1

37.3

28.6

56.2

36.1

20.4

32.5

18.9

18.1

20.3

18.3

15.8

0% 20% 40% 60% 80% 100%


Q30-9．再発防止対策策定支援

Q30-10．システム改修、再構築支援

Q30-11．（データが消失した場合の）データ復旧支援


１位：54.0％

３位：50.1％


全体(1141)

経営者リスク管理＆ＩＴ経営者リスク管理＆ＩＴ経営者リスク管理＆ＩＴ(146) (302) (107) (254) (144) (188)

事業規模が大きい 0.49 0.71 0.32 0.61 0.28 0.56 0.55海外展開している 0.17 0.34 0.15 0.23 0.13 0.30 0.24知名度が高い 0.46 0.58 0.36 0.52 0.31 0.53 0.49経営が安定している 0.65 0.68 0.80 0.61 0.63 0.66 0.66所在地が自社に近い 0.16 0.35 0.41 0.37 0.41 0.47 0.36サイバー攻撃への対応に関する実績が豊富である 1.67 1.39 1.69 1.43 1.48 1.29 1.46インターネット上の評判がよい 0.25 0.22 0.28 0.31 0.39 0.37 0.29公的機関による評価 0.47 0.42 0.34 0.49 0.44 0.39 0.43自社と取引実績がある（保守・メンテナンスを依頼している等） 0.82 0.65 0.40 0.51 0.54 0.39 0.56取引のある企業からの紹介 0.23 0.22 0.22 0.24 0.29 0.26 0.24費用に納得できる 0.61 0.44 0.98 0.67 1.10 0.77 0.70その他 0.02 0.00 0.04 0.00 0.01 0.01 0.01

大企業中堅企業中小企業(448) (361) (332)

Q31．外部の専門企業のサービスをいずれか「利用する」「利用する可能性がある」とお答えの方にお伺いします。利用する場合、情報セキュリティサービス会社選定のポイントは何ですか。重視する順に、1番目～3番目までそれぞれお答えください。（それぞれ１つずつ選択）

・外部サービスの選定は、全体で1.46ポイントと「対応実績の豊富さ」を最も重視している。

４-６．セキュリティサービスの利用について②


（スコア）：１番目＝３、２番目＝２、３番目＝１としてスコアを算出。

Q32．外部の専門企業のサービスをいずれも「利用しない」とお答えの方にお伺いします。その理由をお答えください。（１つ選択）

・大企業で最も多い理由は、｢そもそもサイバー攻撃等を受ける可能性が低いと思われるため｣である。・中堅・中小企業で最も多い理由は、｢費用がかけられない｣である。

67

n=

(316)

経営者 (25)


経営者 (41)


経営者 (123)


　全　体


大企業

中堅企業

中小企業

22.8

20.0

21.2

17.1

21.1

25.2

26.2

4.4

4.0

15.1

0.0

9.6

2.4

0.0

35.1

44.0

42.5

39.0

30.8

32.5

33.4

36.7

32.0

21.2

41.5

38.4

38.2

40.5

0.9

0.0

0.0

2.4

0.0

1.6

0.0

0% 20% 40% 60% 80% 100%

自社の要員で十分対応できると思われるため

対策はすでに実施ずみであり、サイバー攻撃による実被害は小さいと思われるため

そもそもサイバー攻撃等を受ける可能性が低いと思われるため

費用がかけられない

その他

４-６．セキュリティサービスの利用について③


Documents

～サイバー保険の認知やニーズの現状～ - IPA企業におけるサイバーリスク管理の実態調査2015 ～サイバー保険の認知やニーズの現状～