制裁金がある「GDPR」について「十分理解している」企業は10.0％――トレンドマイクロ調査：「知らない」「理解していない」が66.5％

トレンドマイクロは「EU一般データ保護規則（GDPR）対応に関する実態調査」の結果を発表した。「内容について十分理解している」割合は10.0％なのに対して、「名前だけは知っている」または「知らない」は66.5％。欧州国民の個人情報を取り扱っているにもかかわらず対応に着手していない割合は70.3％に上った。

[＠IT]

　トレンドマイクロは2018年5月17日、「EU一般データ保護規則（GDPR）対応に関する実態調査」の結果を発表した。同調査は、同年5月25日に施行開始となるGDPRに関する認知度や対応状況などを調べたもので、法人組織の意思決定者や意思決定関与者998人を対象に、同年4月に実施した。

　それによると、GDPRの「内容について十分理解している」と回答した割合は全体のわずか10.0％だったのに対して、「名前だけは知っている」または「知らない」と回答した割合は66.5％に上った。GDPRが2018年5月25日に施行されるにもかかわらず、認知や理解が十分に進んでいない実態が明らかになった。

　GDPRの内容を理解していない割合は、部門別、役職別では、情報システム責任者が56.7％、リスク管理責任者が66.3％、法務部門責任者が70.4％、経営企画責任者が79.3％だった。業務上、個人情報保護やリスク管理などの責務を負っている情報システム責任者やリスク管理責任者では、「内容について十分理解している」割合は比較的高く、いずれも12.5％。それに対して、業務上の責務が個人情報保護やリスク管理から離れている経営企画責任者では、「知らない」と回答した割合が53.9％と最も高く、認知や理解が遅れていることが分かった。

図1：EU GDPRの認知度・理解度（n=998、出典：トレンドマイクロ）

　一方、自身が勤務する法人組織の国内または海外の拠点で、「EEA（European Economic Area：欧州経済領域）参加国の国民の個人情報を取り扱っている」と回答した573人のうち53.2％は、個人情報の漏えいを経験しているという。その原因で最も多かったのは「サイバー攻撃」で、割合は33.3％。次いで、「従業員の過失」が29.5％、「内部犯行（従業員の故意）」が24.1％（複数回答）だった。

図2：EEA参加国個人情報漏えいの原因別内訳（n=573、出典：トレンドマイクロ）

　それに対して、「EEA参加国の国民の個人情報を取り扱っており、しかもGDPRの内容を理解している」299人のうち、GDPRに「対応済み」と回答したのはわずか10％で、70.3％が対応に着手していなかった。

図3：GDPR対応状況（n=299、出典：トレンドマイクロ）

　情報が漏えいしGDPR違反が明らかになった場合は、最大で全世界売上高の4％または2000万ユーロのうちいずれか高い方が制裁金として課せられる。さらにさまざまなインシデント対応コストが企業に発生することから、顧客や取引先の信頼性を失うばかりではなく、事業継続にも大きな影響を及ぼす。トレンドマイクロでは、この現状は憂慮すべきで、自組織で深刻な事態が起きる前に対応に着手することが急務と警鐘を鳴らしている。