情報漏洩事故が発生し過失があった際には、最大で約26億円の制裁金や個人情報の利用停止措置が発生することになる EU 一般データ保護規則（GDPR、General Data Protection Regulation）が、一週間後の 2018 年 5 月 25 日に施行となります。国内の企業や官公庁自治体といった多くの法人組織にも大いに影響があるこの規則ですが、施行まであと一週間を控え、この内容はおろか規則の存在自体の認知が進んでいない現状が明らかになりました。

GDPR の認知・理解度と法人組織の対応状況について、官公庁自治体や民間企業において情報システム、リスク管理、法務、経営企画の各領域における主任以上の意思決定者・関与者998名を対象に、トレンドマイクロでは 2018 年 3 月から 4 月にかけて調査を実施しました。その結果、全体の半数以上の 66.5％ が GDPR の存在自体知らない、あるいは名前しか知らないという実態が明らかになりました。近年では、改正個人情報保護法が 2017 年 5 月 30 日に施行し、また改正割賦販売法が GDPR 施行直後の 2018 年 6 月 1 日から施行となり、国内でも個人情報保護に関連した法整備が進んでいます。個人情報やプライバシーの保護に関連して海外でも法規制の整備が行われている一方で、国内の法人組織にも影響のある海外の法規制に対する認知や理解が進んでいない実情がうかがい知れます。





図 1：GDPR の認知度・理解度（n=998）

EEA 参加国の個人情報を取り扱う組織でも認知・理解は低い

GDPR は、拠点がヨーロッパ内にあるかないかに関係なく、欧州経済地域（EEA）参加国の個人情報を取り扱うすべての法人組織が対象となります。今回の調査では、全体の実に 57.4％（573 名）が国内拠点・海外拠点いずれかで EEA 参加国の個人情報を取り扱っていると回答していることからも、IT 環境やビジネス環境のグローバル化をうかがい知ることができます。その中で深刻なのは、この EEA 参加国の個人情報を自組織で取り扱っている回答者だけで見ても、うち 52.0% が GDPR の存在自体知らない、あるいは名前しか知らないと回答している点です。単純計算すると、EEA 参加国の個人情報を取り扱っている組織の半分が GDPR に対する認知や理解がないということになります。EU 圏内に拠点を構えているか否かに関係なく、EEA 参加国の個人情報を取り扱うすべての法人組織が対象となるゆえに、当該個人情報をすでに取り扱っている組織での認知・理解が進んでいない現状は危機的と言わざるを得ません。

多くが EEA 参加国の個人情報漏洩を経験

加えて、EEA 参加国の個人情報を取り扱っていると回答した 573 名のうち半分以上に相当する 53.2% が、自組織の国内外いずれかの拠点において、サイバー攻撃、従業員の過失、内部犯行いずれかによって当該個人情報の漏洩を経験していると回答しています。個人情報漏洩という問題が、国内、海外で実に深刻な問題であることがうかがい知れますが、同時にいかにして我々の個人情報やプライバシーがデジタル化された時代であるか、つまりなぜ GDPR が制定されたのかの一つの背景をうかがい知ることができるかもしれません。

GDPR は、「個人情報に関する様々な権利はその主体（つまり本人）に属する」という考え方に基づいています。ビジネス活動をより効果的に実現するうえで個人情報は欠かせないものになっている一方で、メールアドレスはなりすましメールの配信に、ID やパスワードはなりすまし行為や情報窃取に、そしてクレジットカード情報は不正購入にと、犯罪者にとっても価値のあるものとして取り扱われているのが現状です。GDPR の施行は、この個人情報に対する考え方を我々一人一人が変えなければいけないターニングポイントに来ていることを意味しているとも言えます。





図 2：EEA 参加国の個人情報の漏洩発生状況内訳（数値は%、n=573）

大多数がGDPRに未対応

EEA 参加国の個人データを取り扱っておりかつ GDPR を理解していると回答した 299 名のうち、自組織において GDPR 対応を完了しているのはわずか 10.0％ で、現在対応を進めている組織も 19.7％ にとどまることがわかりました。逆を言うと、70.3％ は GDPR 対応自体を進めておらず、そもそも GDPR を全く知らない、名前しか知らないものの当該個人情報を取り扱っている組織を含めると、国内法人組織の大多数が施行開始までに対応が間に合わない可能性が極めて高いといえます。施行開始までに対応が完了していなくてもペナルティがない、自組織にどれだけの影響があるかわからないといった理由がゆえに、施行後の様子を見る考えの組織も相当数あることが推測されます。





図 3：GDPR 対応状況内訳（n=299）

GDPR においては、個人情報の取り扱いに関する約款の整備、本人からの同意取得・放棄の仕組みの整備、組織的・技術的安全管理措置の実施、Data Protection Officer（情報保護責任者、DPO）の設置・任命、情報漏洩発生時の 72 時間以内の通知義務など、実に様々な対応要件が存在します。例えば、個人情報の取り扱いに関する約款一つをとっても、従来は法律専門用語が多くちりばめられた長文のもので入手が容易ではないものが当たり前のように認識されているかもしれません。しかし、GDPR ではこの約款は、容易にアクセスできかつ容易に理解できるものでなければならない、とまで明確に定められいます。一方で、安全管理措置、つまりセキュリティ対策については、「最先端の」措置を講じなければならないと定められていますが、これが具体的にどのような措置を指しているのか分からずに混乱しているIT管理者は国内外に多くいることが想定されます。

GDPR 対応を検討中、実施中、完了済みと回答した 219 名に、具体的に完了している項目について聞いたところ、DPO の設置・任命、情報漏洩発生時の 72 時間以内の通知に向けた体制整備、個人情報の移転規制に対する対応といった、GDPR ならではの項目の実施完了率が特に低いことがわかりました。GDPR 対応が多岐にわたり、容易ではないことが理解できます。





図 4：GDPR 関連施策の対応状況（数値は%、n=219）

現時点で EEA 参加国の個人情報を自組織で取り扱っていると回答している 573 名に、今後取り扱う予定があると回答した 64 名を加えた 637 名のうち、GDPR が自組織に与える影響を懸念している回答者は、実に 85.7％ にものぼります。GDPR によってもたらされる懸念事項を具体的に聞いてみると、「顧客からの信用失墜」が最も多く 60.6％、次いで「取引先からの信用失墜」で 48.2％と、「売上減少」や「倒産」といったビジネスや事業継続性への直接的な影響以上にまず社会的信用を懸念する傾向が強いことがわかります。





図 5：GDPR による自組織への影響の懸念内訳（数値は%、n=546）

その一方で、「情報漏洩発生時の社外通知の敬遠」が 38.3％ で 3 位、「情報漏洩発生時の社内告知の敬遠」が 31.7％ で 5 位に入っています。これは高額な制裁金や当該個人情報の利用停止措置といった制裁を嫌って、本来対外的、社内的に行うべき情報漏洩事故の報告・告知を回避する動きになる可能性を意味しています。当該個人情報の取り扱いにおいて何らかの抵触事項があった際には、その内容に応じて最大で全世界の売上高の 4％ あるいは 2,000 万ユーロ（当記事執筆時点で約 26 億円）の制裁金が課せられたり、当該個人情報の利用停止措置がなされることになります。社会的信用の失墜によるビジネスへの影響、ならびに企業体力によっては倒産リスクも考えられる規模の制裁金であるがゆえに、情報漏洩といった事故に関して隠蔽体質になる可能性は、この数値にも表れているように十分考えられます。

繰り返しになりますが、我々がビジネス活動を行う上で当たり前のように取り扱っている個人情報に関する様々な権利は、取り扱う側ではなく個人情報やプライバシーの主体である本人にあるとするのが GDPR の根本的な考え方です。GDPR 対応を進めるにあたっては、組織的、技術的な観点で様々な措置を講じなければなりませんが、対応を進める前に、個人情報漏洩リスクを低減するためにも、GDPR の根底にある個人情報やプライバシーに関する考え方をまず組織全体で理解する必要があります。GDPR の高額な制裁金によって倒産する企業が多数出ることに対する懸念が挙げられいますが、個人情報やプライバシーの保護をおろそかにすることによって企業が事業継続リスクにさらされると考えるのがしかるべきかもしれません。

トレンドマイクロでは、法人組織が GDPR 対応を進めるうえで必要となる様々な情報やガイダンスを提供しています。詳しくは、GDPR 特設ページをご覧ください。

【更新情報】