3月時点で改正個人情報保護法に対応できていない企業が約4割 トレンドマイクロ：個人情報保護委員会への報告や本人への通知が義務化

トレンドマイクロは、「改正個人情報保護法における法人組織の実態調査」の結果を発表した。改正個人情報保護法の施行1カ月前（2022年3月2〜4日）の時点で、対応が完了していない企業は40.6％だった。

[＠IT]

　トレンドマイクロは2022年3月30日、「改正個人情報保護法における法人組織の実態調査」の結果を発表した。それによると、2022年4月1日に施行される改正個人情報保護法への対応が、同年3月2〜4日時点で完了していない企業は40.6％あることが分かった。

改正個人情報保護法への対応状況（提供：トレンドマイクロ）

　調査は、国内事業において個人情報を取り扱っている企業（従業員数が100人以上）で「改正個人情報保護法の対応を推進する担当者」を対象に実施し、800人から有効回答を得た。なお、調査期間は改正個人情報保護法の施行1カ月前に当たる2022年3月2〜4日に実施した。

個人情報漏えいに伴う通知の義務化について「把握していない」が23.1％

　改正個人情報保護法への対応が「完了している」と回答した割合は59.4％。「対応中であり、2022年4月1日までに完了する予定」は27.1％。「対応中であり、2022年4月1日までに完了しない予定」は7.0％だった。

　企業規模別で見ると、従業員数が5000人以上では「完了している」と「対応中であり、4月1日までに完了予定」の割合が合計で91.5％だった。それに対して従業員数が100〜499人では同割合が75.0％となっており、トレンドマイクロは「企業規模が小さくなるほど対応できてない」と指摘している。

　改正個人情報保護法では、個人情報が漏えいした場合に、個人情報保護委員会への報告や本人への通知が義務化される。

　過去1年間で発生した個人情報の漏えいについて聞いたところ、「複数回発生している」と回答した割合は12.1％、「発生している」は18.3％。個人情報の漏えいが発生した割合は約3割だった。その原因としては「従業員や委託先による不慮の事故（送信ミスなど）」が最も多く、49.0％（複数回答、以下同）だった。次いで、「従業員や委託先による故意の犯行（内部犯）」（39.1％）、「外部からのサイバー攻撃」（32.5％）だった。

過去1年間の「個人情報の漏えい」の発生状況（提供：トレンドマイクロ）

　個人情報保護委員会への報告や本人への通知の義務化について「把握していない」と回答した割合は23.1％。個人情報が漏えいしたときに個人情報保護委員会や本人に対して迅速に通知するための対応については、「報告先の明確化」に対応した割合は46.9％、「社内のどの部署が報告、通知するかの明確化」は45.5％、「本人への報告手段の明確化」は27.4％にとどまった。

半数が「委託先の個人情報管理体制」について監査していない

　企業は委託先の個人情報の管理体制についても監査義務が発生する。だが、「全ての委託先の個人情報の管理体制について監査を実施している」と答えた割合は53.0％となっており、約半数が委託先の管理体制について監査していないことが分かった。

委託先の個人情報管理体制について監査をしているかどうか（提供：トレンドマイクロ）

　トレンドマイクロは次のように述べている。

　「業務上のつながりがある委託先企業がサイバー攻撃などを受けることによって、取引先から情報が漏えいしてしまう事件が日本国内でも多発している。こうしたサイバーセキュリティリスクに対応する上で、自組織の安全性を確保するだけでなく、取引先の安全性を確認することも重要だ」