情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は6月30日、「企業・組織におけるテレワークのセキュリティ実態調査:IPA 独立行政法人 情報処理推進機構」において、「企業・組織におけるテレワークのセキュリティ実態調査」(2021年度調査)の結果を報告した。

2020年には事業継続が優先され、ガバナンスの低下が懸念されていた。今回の調査によって順守状況の確認やルールの見直しなどで改善が見られたものの、特例や例外といった一時的なセキュリティの緩和が戻っておらず、リスクが懸念される状況にあることが明らかになったと説明されている。

  • 企業・組織におけるテレワークのセキュリティ実態調査:IPA 独立行政法人 情報処理推進機構

    企業・組織におけるテレワークのセキュリティ実態調査:IPA 独立行政法人 情報処理推進機構

2021年度の調査結果によると、機密情報を含む電子記録媒体や会社支給パソコンの持ち出しに関して、例外や一時的に認めた割合が2020年よりも増加している。IPAは、新型コロナウイルス感染症(COVID‑19)の制限化において事業を継続するために特例や例外で条件や手続きを緩和することはやむを得ないが、その状態が常態化することはリスクの増大につながるとし、状況を元に戻すことや、別の対策またはルールの作成などを対策を実施することが必要だと指摘している。

  • 一時的な特例・例外を行った組織の割合と現在(2022年1月末時点)の状態 資料:IPA「企業・組織におけるテレワークのセキュリティ実態調査」(2021年度調査)」

また、委託先も委託元もテレワークに関する社内規定・規則・手順などの状態確認を実施する割合が増加したものの、委託元(ITユーザー)の3割以上で「確認していない」と回答している点についても言及されている。IPAは、規則や手順が定められていても状況確認が行われていないことで、セキュリティインシデントが発生する恐れがあると指摘している。

  • 2021年4月1日から2022年1月31日までの間に取り決めた業務委託契約のセキュリティ要求事項 資料:IPA「企業・組織におけるテレワークのセキュリティ実態調査」(2021年度調査)」