独立行政法人情報処理推進機構(IPA)は7月7日、「2016年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について発表した。同調査は2015年に続いて実施されたもので、郵送およびWebによるアンケート調査と、その結果に基づく訪問によるインタビューなどの調査を行っている。なお、調査では従業員数300名以下を中小企業としており、さらに101名以上と以下で分け、卸売業、小売業、サービス業・その他は5名以下、それ以外は20名以下を小規模企業と規定している。調査結果によると、情報漏えい等のインシデントまたはその兆候を発見した場合の対応方法を規定しているのは全体の21.2%にとどまり、小規模企業に至っては13.7%であった。また、情報セキュリティ関連の被害を防止するために実施している組織面・運用面の対策として、もっとも多かったのは「セキュリティポリシーの文章化」であったが、それでも小規模企業の割合は8.2%となっている。IT分野への投資については、3年間に投資を行ったと回答したのは47.8%、行っていないと回答したのは47.7%であった。規模別では小規模企業が38.0%、100名以下の中小企業が56.7%、101名以上では79.1%であった。情報セキュリティ対策への投資額は、全体では「100万円未満」がもっとも多く76.2%、「100万円~500万円以下」の14.4%が続いた。規模別では、小規模企業は「100万円未満」(87.7%)、中小企業(100名以下)は「100万円未満」(71.9%)、中小企業(101名以上)は「100万円~500万円以下」(42.3%)がもっとも多かった。情報セキュリティ対策に投資しない理由については、「費用対効果が見えない」(20.6%)、「どこからどう始めたらよいかわからない」(20.2%)などの回答が多かった。
