GDPR(EU一般データ保護規則)への対応状況は? 「内容を十分理解」は1割
トレンドマイクロが5月17日に公表した、欧州連合(EU)における個人情報保護に関する規則「EU一般データ保護規則(GDPR)」への企業の対応状況に関する調査によると、「GDPR」について十分に理解していると回答したのは全体の10%にとどまった。
「GDPR」はEUにおける個人情報保護のルールを定めたもの。2016年5月24日に発効、2018年5月25日から適用が開始される。
GDPRの認知度・理解度に関する質問で、「内容について十分理解している」と回答したのは全体の10.0%。「内容についてある程度理解している」は23.5%だった。
「名前だけは知っている」(28.1%)と「知らない」(38.4%)を合わせて、全体の66.5%が制度について理解していない。
部門別・役職別では、内容を理解していない割合は「情報システム責任者」は56.7%、「リスク管理責任者」は66.3%、「法務部門責任者」は70.4%、「経営企画責任者」は79.3%。
調査対象は日系および外資系の法人における、意思決定者や意思決定関与者998人。
理解している企業で「対応済み」は1割
欧州経済領域(EEA)参加国の国民の個人情報を取り扱っており、かつ「GDPR」の内容について理解していると答えた299人を対象にGDPRへの対応状況を調査した結果、「対応済み」と答えたのは10%だった。
「現在対応中」は19.7%、「対応を検討中」は43.5%、「ひとまず様子を見る」は23.1%、「特に何も対策をしていない」は3.7%。
トレンドマイクロはこの調査結果について、次のようにまとめている。
GDPRが国内法人組織にも影響があり、違反時には最大で全世界の売上高4%あるいは2,000万ユーロが制裁金として課せられる中で、70.3%が対応に着手していない現状は憂慮すべき事態といえます。
GDPR対応は施行日までに完了しなくても制裁はありませんが、欧州経済領域(EEA)参加国国民の個人情報を取り扱っている法人組織の53.2%が当該個人情報の漏洩を経験している中で、自組織で深刻な事態が起きる前に対応に着手することが急務と言えます。
日本貿易振興機構(JETRO)は「GDPR」ついて次のように説明している。
GDPRは、EUを含む欧州経済領域(EEA)域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データを EEA 域外に移転することを原則禁止しており、現地進出の日系企業に勤務する現地採用従業員や、日本から派遣されている駐在員も含まれるため注意が必要とされます。行政罰規定があり、違反行為に対しては、高額の制裁金が課されるリスクもあります。
調査概要
- 調査名:「EU一般データ保護規則(GDPR)対応に関する実態調査」
- 実施時期:2018年3月27日~2018年4月5日
- 回答者:日系ならびに外資系法人組織における主任以上の意思決定者・意思決定関与者998名
- 回答者属性内訳:(民間企業および官公庁自治体を含む)情報システム責任者(441名)、経営企画責任者(284名)、法務部門責任者(169名)、リスク管理責任者(104名)計998名
- 調査手法:インターネット調査