観光庁がこのほど実施した「情報セキュリティ対策に関するアンケート」によると、情報セキュリティに関する規程が存在する旅行会社は、社員数300名以上の大企業では100％だったものの、300名未満の中小企業では半分の51％にとどまり、会社の規模によって取り組みの度合いに大きな開きが見られることが明らかとなった。また、大企業でも担当部署やCSIRT（情報セキュリティ専門の対応チーム）を設置しているのは、半分以下の48％だった。中小企業はさらに低く34％だった。

　同調査は、ジェイティービー（JTB）など旅行会社2社の個人情報流出事案を受けて、観光庁が6月28日に開催した「情報共有会議」で実施したもの。社員数100人未満の24社、300人未満の11社、500人未満の3社、1000人未満の3社、1000人以上の13社の計54社が回答した。

　CISO（最高情報セキュリティ責任者）の有無に関する質問については、大企業の58％が、中小企業の46％が「いる」と回答。このうちCISOが緊急時に外部から通信を遮断できる権限を持つ企業は、大企業では80％、中小企業では50％に留まったことから、観光庁は実効性を高める必要があることを指摘している。

　そのほか、社員に対する教育や研修については、大企業では95％とほぼすべての会社が実施している一方、中小企業では49％という結果に。職員だけに限らず、役員や管理職を含むすべての社員に実施していたのは、大企業では67％、中小企業では41％にとどまった。観光庁は旅行会社に対して「全社員への教育の徹底に向けてさらなる注力が必要」と要望している。

　社外の情報セキュリティの専門家の活用に関する質問では、大企業では58％が、中小企業では49％が「活用している」と答えた。情報セキュリティに関して関連会社など他社との情報共有をおこなっているのは、大企業で79％、中小企業で40％だった。観光庁は、7月22日に実施した第2回の「旅行業界情報流出事案検討会」で、日本旅行業協会（JATA）などの業界団体が会員会社に対して迅速な情報共有をおこなえる仕組みを作るべきとの考えを示したところ。

　観光庁は7月28日に、旅行会社向けに第2回の「情報共有会議」を開催し、「旅行業界情報流出事案検討会」が取りまとめた再発防止策の詳細を発表する予定。再発防止策は各旅行会社における情報セキュリティ責任者の任命などを含む早期に取り組むべき対策が中心で、より具体的な防止策については、8月以降に開催する第3回以降の会合で、ガイドラインの策定に向けた検討を進める方針だ。策定時期については、来年以降となる見込み。