一般財団法人日本情報経済社会推進協会(JIPDEC)が公表した「企業IT利活用動向調査2026」によると、日本企業の約8割が何らかのセキュリティインシデントを経験し、ランサムウェアの感染割合は45.8%(約2社に1社)に達しました。一方で身代金の支払い率は3年連続で下がり43.8%に。そして最も多い被害は、派手なサイバー攻撃ではなく「従業員によるデータ・情報機器の紛失・盗難」(3年連続で1位)です。自社の状況を業界平均と照らし、経営層に説明するための材料として使える数字がそろっています。
この記事でわかること
- 2026年調査に表れた「企業インシデントの全体像」と主要な数字
- ランサムウェアの感染率・身代金支払い率・「払っても復旧できない」実態
- 業種別・企業規模別の感染率の差(自社の立ち位置を測る材料)
- 対策製品の導入率と、情シスが今から手を打つべき優先順位
どんな調査なのか
「企業IT利活用動向調査」は、JIPDECが株式会社アイ・ティ・アール(ITR)の協力のもと毎年実施している調査です。今回の2026年版は2026年1月に調査し、2026年4月16日に公表されました。DXやAI活用と並んで、セキュリティのインシデント発生状況と対策の実施状況を継続的に追っており、経年で傾向を比較できるのが特徴です。以下では、情シスの実務に直結する数字を抜き出して読み解きます。
約8割が被害を経験、最多は今も「紛失・盗難」
インシデントを「経験していない」と答えた企業は22.7%(2024年調査の22.1%からほぼ横ばい)。つまり約8割は何らかのインシデントを経験しています。そのなかで発生割合が最も高いのは、3年連続で「従業員によるデータ・情報機器の紛失・盗難」で、およそ3社に1社が経験しています。
加えて、取引先や人を狙う手口が伸びています。
| インシデントの種類 | 傾向 |
|---|---|
| 従業員による情報機器の紛失・盗難 | 3年連続で最多(約3社に1社) |
| ビジネスメール詐欺(BEC) | 8.4%→10.3%に上昇 |
| フィッシング | 上昇傾向 |
| 取引先・委託先での自社データの漏えい・滅失 | 上昇傾向 |
ゼロデイやランサムに目が行きがちですが、足元の「モノと人の管理」が依然として最大の穴である、という事実がまず重要です。
ランサムウェア:感染は約2社に1社、身代金支払いは3年連続で減少
ランサムウェアの感染割合は45.8%。企業規模を問わず中小企業も標的になっています。一方で、身代金の支払い率は下がり続けています。
| 項目 | 数値 |
|---|---|
| ランサムウェア感染割合 | 45.8%(約2社に1社) |
| 身代金の支払い率 | 57.0%(2024年)→43.8%(2026年)/3年連続低下 |
| 「支払わない」と回答 | 25.7% |
注目したいのは、感染後の復旧状況です。調査では「身代金を支払ったのに復旧できなかった」企業が25.6%にのぼり、「支払って復旧に成功」した20.2%を上回っています(「支払わず復旧できず」も28.4%)。支払いは復旧を保証しないという現実が数字にはっきり表れています。攻撃者との交渉に賭けるより、復旧できるバックアップ体制に投資すべき、という結論を裏づける材料といえます。
被害額は「1,000万~5,000万円未満」が最多層で、10億円以上と回答した企業も4.3%ありました。復旧に成功した企業の7割以上は1カ月以内に復旧したものの、約4分の1は1カ月以上を要しています。「感染してから考える」では事業停止が長期化しかねないことがわかります。
業種・規模で感染率はどう違うのか
自社の立ち位置を測るうえで、業種別・規模別の差は有用です。
| 区分 | ランサムウェア感染率 |
|---|---|
| 製造業 | 57.1%(業種別で最多) |
| 情報通信業 | 50.0% |
| 卸売・小売業 | 36.7% |
| サービス業 | 36.6% |
| 従業員5,000人以上 | 50.0% |
| 1,000~4,999人 | 49.3% |
| 300~999人 | 49.0% |
| 299人以下 | 37.0% |
大企業ほど感染率が高い傾向はあるものの、299人以下の企業でも37.0%が感染しています。「うちは小さいから狙われない」は通用しない、という点は経営層への説明で強調したいところです。製造業の高さは、サプライチェーンや工場ネットワーク(OT)を含む攻撃対象の広さを反映していると考えられます。
対策製品はどこまで入っているか
対策の導入率は、基本的な防御ほど普及し、新しい概念ほど途上、という段階的な姿を見せています。
| 対策 | 導入率の水準 |
|---|---|
| マルウェア対策・ファイアウォール | 50%超 |
| EDR/NGAV・多要素認証(MFA) | 40%超 |
| SOC・SIEM/XDR | 30%台 |
| ゼロトラスト関連製品 | 30%未満 |
裏を返せば、多要素認証すら半数近くの企業で未導入ということです。フィッシングやBECが増えている現状を踏まえると、まずはMFAの全面適用のような「効果が大きく、比較的入れやすい対策」から埋めていくのが現実的でしょう。
現場目線の所感:数字は「足元」を指している
この調査を情シスの立場で眺めると、突きつけられるのは「最新の脅威より、地道な運用の穴が被害の主因」という現実です。3年連続で紛失・盗難が1位という事実は、高価なEDRを入れる前に、そもそも端末やUSBメモリ、書類の持ち出しをどこまで把握・制御できているか、という問いを投げかけます。限られた人員で全社の端末と人の行動まで目を配るのは、正直かなり難しい——それでも被害の起点はそこに集中している、というのが数字の語るところです。
ランサムの「払っても4分の1は復旧できない」も、現場の肌感覚と一致します。交渉や支払いは博打であり、頼れるのは自組織で検証済みの復旧手順だけです。派手なツール導入の稟議より、バックアップの取得・隔離・復旧テストという地味な運用にこそ予算と時間を割く根拠として、この調査結果は使えます。
情シスはどうすべきか(公的指針への誘導)
調査結果を「自社の宿題」に落とし込む際は、自前でチェックリストを積み上げるより、公的機関の指針を土台にするのが効率的です。まずは次のリソースを参照してください。
- ランサムウェア対策の全体像は、IPAのランサムウェア対策特設ページが入口として使えます(バックアップや復旧の考え方も整理されています)。
- 中小企業や、まず全体を底上げしたい組織は中小企業の情報セキュリティ対策ガイドラインを。
- 紛失・盗難やフィッシングなど「人」に起因する被害には、従業員向け啓発が効きます。対策のしおりを配布素材として活用できます。
- 「感染したらどう動くか」を事前に体で覚えるには、セキュリティインシデント対応 机上演習教材が有用です。
あわせて、IPAが毎年公表する情報セキュリティ10大脅威 2026と本調査の数字を並べると、「脅威の順位」と「実際の被害割合」の両面から社内説明を組み立てられます。
まとめ
- 約8割が被害を経験し、ランサム感染は45.8%。規模を問わず、299人以下でも37.0%が感染しており「小さいから安全」は成り立たない。
- 身代金支払い率は43.8%へ3年連続低下し、支払っても約4分の1は復旧できていない。投資すべきは交渉ではなく、検証済みのバックアップと復旧手順。
- 最多被害は今も「紛失・盗難」。最新脅威と同時に、MFA全面適用や従業員啓発といった足元の運用を埋めることが被害最小化の近道。
出典
- 一般財団法人日本情報経済社会推進協会(JIPDEC)「企業IT利活用動向調査2026(セキュリティのインシデントと対策の状況編)」2026年4月16日公表:https://www.jipdec.or.jp/library/it-resarch/it-resarch2026-03.html
- IPA 独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2026」:https://www.ipa.go.jp/security/10threats/10threats2026.html

