知らないでは済まされない「EU一般データ保護規則（GDPR）」に関する最新調査【トレンドマイクロ社調べ】

2018/05/23

ECのミカタ編集部

トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長兼 CEO：エバ・チェン、以下「トレンドマイクロ」）は、法人組織の意思決定者・意思決定関与者を対象に、2018年5月25日より施行開始となるEU一般データ保護規則（以下、GDPR）に関する認知度や対応状況などの実態を明らかにする「EU一般データ保護規則（GDPR）対応に関する実態調査」を実施し、その内容を公表した。

EUの新しい個人情報保護の枠組み

EU一般データ保護規則（GDPR＝General Data Protection RegulationR）とは、欧州連合（EU）における新しい個人情報保護の枠組みだ。個人データの処理と移転に関するルールを定めた規則で、EU内の全ての個人情報保護を強化することを意図して策定された。

同規則は、EU居住者のデータを取り扱う全ての企業を対象としていて、日本の企業もその要件に当てはまる場合は、当然にして他人事ではない。万が一情報漏洩が発生しGDPR違反が明らかになった場合には、最大で全世界売上高の4％あるいは2,000万ユーロが制裁金として課せられる。また同規則の施行が2018年5月25日となっていて、期日が極めて間近に迫っている。

今回、トレンドマイクロ社は、同規則に関しての実態調査を行い、その結果を公表した。以下その気になる内容について見て行こう。

＜調査概要＞

【調査名】：
「EU一般データ保護規則（GDPR）対応に関する実態調査」

【実施時期】：
2018年3月27日～2018年4月5日

【回答者】：
日系ならびに外資系法人組織における主任以上の意思決定者・意思決定関与者998名

【回答者属性内訳】：
民間企業および官公庁自治体を含む、情報システム責任者（441名）、経営企画責任者（284名）、法務部門責任者（169名）、リスク管理責任者（104名）計998名

【手法】：
インターネット調査

【凡例】：
調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値

「内容について十分理解している」のは、わずか10%

「内容について十分理解している」のは、わずか10% 図1：EU GDPRの認知度・理解度（n=998）
（設問）「個人情報の取り扱いに関する規則を定めた「一般データ保護規則（General Data Protection Regulation、GDPR）」を知っていますか？」

GDPRに関する認知度・理解度を調査した結果、「内容について十分理解している」と回答したのは全体のわずか10.0％に止まることが判明した。「名前だけは知っている」、「知らない」という回答が全体の66.5%を占め、施行開始を目前にGDPRに関する十分な認知・理解が進んでいない実態が明らかとなった。

部門別・役職別にGDPRの認知度・理解度を見てみると、情報システム責任者の56.7%、リスク管理責任者の66.3%、法務部門責任者の70.4%、経営企画責任者の79.3%が内容を理解しておらず、個人情報保護やリスク管理といった直接的な責務から距離が大きくなるほど認知・理解が遅れていることが分かった。

トレンドマイクロ社は、このような状況に対して、「個人情報並びにプライバシーの保護への対応が求められるGDPRに関して、自組織での経営リスク、法的リスクを把握しなくてはならない部門の意思決定層での理解が進んでいないことは大いに懸念される」としている。

最大で全世界売上高の4％か2,000万ユーロが制裁金として課せられる

最大で全世界売上高の4％か2,000万ユーロが制裁金として課せられる図2：EEA参加国個人情報漏洩の原因別内訳（n=573）
（設問）あなたがお勤めの組織において取り扱っているEEA参加国在住者の個人情報について、これまでに経験したことがあるものをすべて選択してください（複数回答）。

自身が勤める法人組織の国内・海外いずれかの拠点においてEEA（European Economic Area：欧州経済領域）参加国国民の個人情報を取り扱っていると回答した573名のうち、半数以上の53.2％が自組織において当該個人情報の漏えいを経験していることが明らかになった。

また、573名を対象にどのような情報漏洩を経験したことがあるか尋ねたところ、「サイバー攻撃」によるものが33.3％と最も多く、「従業員の過失」や「内部犯行」と比較しても多いことが分かった。万が一情報漏洩が発生しGDPR違反が明らかになった際には、最大で全世界売上高の4％あるいは2,000万ユーロが制裁金として課せられるが、加えて様々なインシデント対応コストが企業に発生することになる。顧客や取引先の信頼性を失うばかりではなく、事業継続にも大きな影響を及ぼすことになる。

理解している担当者も「対応済み」は10%にとどまる

理解している担当者も「対応済み」は10%にとどまる図3：GDPR対応状況（n=299）
（設問）あなたの組織におけるGDPR対応について最も近いものをいずれか一つ選んでください（単一回答）。

EEA参加国国民の個人情報を取り扱っており、かつGDPRの内容について理解している299人を対象にGDPRへの対応状況を調べたところ、「対応済み」と回答したのはわずか10%に止まることが分かった。

同社は、「GDPRが国内法人組織にも影響があり、違反時には最大で全世界の売上高4％あるいは2,000万ユーロが制裁金として課せられる中で、70.3％が対応に着手していない現状は憂慮すべき事態といえる」としている。

欧州経済領域の個人情報を取扱っている場合は要対応

GDPR対応自体は、施行日までに完了しなくても、それによる制裁は無い。しかし調査内容にある通り、多くの企業や担当者において、情報漏洩が過去にあったとしている点からしても、同規則への対応は急務と言える。

EC市場、特に越境ECという文脈の上でも、欧州と取引を行っている事業体だけではなく、自身が勤める法人組織の国内・海外いずれかの拠点においてEEA（European Economic Area：欧州経済領域）参加国国民の個人情報を取り扱っている企業は、すみやかな対応が必要となるだろう。