調査結果（抄）

• 組織・人的対策

組織体制の整備に関して、「マイナンバー取扱担当者を監督する体制が取られている」という設問に、対応済みまたは着手中と回答したのは、回答者全体の22.61%、また「システムのログまたは利用実績を記録する体制や、取扱状況を確認するための手段が整備されている」という設問に、対応済みまたは着手中と回答したのは、回答者全体の23.60%でした。

また、マイナンバーを取り扱う際の教育や社内情報共有体制に関して、「教育プログラムが整備されている」（17.99%）、「トレーニングが全従業員向けに計画されている」（19.80%）、「取扱い・運用ルールの評価、見直し及び改善に取り組むため、マイナンバーの取扱い状況を把握できる体制が整備されている」（19.80%）の設問に、対応済みまたは着手中と回答した割合が、いずれも20%を下回りました。

＜総論＞この結果、組織・人的対策の分野では、マイナンバーに関する社内組織体制や全社的な教育・トレーニングが大きく遅れている実態が明らかになりました。また、この分野での取り組みの進捗をポイント化し、インテル セキュリティの設定した一定基準のもと3段階（A-C、Aが最高）で評価した結果、全体のわずか10.56%のみがA評価（B評価31.19%、C評価：58.25%）でした。この結果は、企業の規模が小さくなるほど低い割合となっています。

• 物理的対策

マイナンバー情報が保存されたメディアの取り扱い方法に関して、「暗号化によるデータの保護が徹底されている」という設問に、対応済みまたは着手中と回答したのは32.18%と、全体の1／3を下回りました。

また、マイナンバー情報が保存・記載された機器や書類の管理に関して、「マイナンバーが記載された書類や、情報ファィルが記録された媒体の保管方法、施錠管理方法などが徹底されている」という設問に、対応済みまたは着手中と回答したのは26.73%でした。

＜総論＞この結果、物理的対策の分野では、データの暗号化やマイナンバー情報の含まれるメディアや書類の管理体制などの対策が遅れ、情報ライフサイクル全体での対策が徹底されていないことが明らかになりました。この分野での3段階評価の結果は、全体の16.83%がA評価（B評価33.66%、C評価：49.50%）となり、組織・人的対策よりも対策が進んでいるものの、引き続き十分な対策が取られている割合は低い結果となりました。

• 技術的対策

外部からの不正アクセス防止対策に関して、「ネットワーク経由での不正アクセスの検知・ブロック」（57.26%）、「（ファイアウォール等による）通信制御」（64.19%）に対応済みまたは着手中と回答した割合は比較的高い一方、「定期的なログの監査」まで実施・着手しているのは33.00%で、特に規模の小さな企業ほどその割合は低い結果になりました。

また、内部からの情報漏えい対策に関して、「内部からの不正なデータ送信の監視・ブロック」（34.49%）、「ログ管理/解析による内部情報漏えいの検知や事後分析」（34.82%）、「導入システム・ツールの機能による外部媒体への不正コピーの監視・ブロック」（29.04%）に対応済みまたは着手中と回答したのは、いずれも全体の1／3程度でした。

＜総論＞この結果、技術的対策の分野では、外部からの攻撃に対策は広く対応済みまたは着手中であるものの、内部からの情報漏えい防止対策がまだ不十分であることが明らかになりました。この分野での3段階評価の結果は、全体の19.64%がA評価（B評価38.28%、C評価：42.08%）となり、外部からの攻撃対策の導入などもありA評価の割合は他の分野よりも高い一方、内部からの情報漏えい防止対策の未整備が全体の評価を下げています。