トレンドマイクロは5月17日、「EU一般データ保護規則(GDPR)対応に関する実態調査」の結果を発表した。これによると、法人組織の意思決定者・意思決定関与者の66.5%がGDPRについて理解していないという。
同調査は同社が3月27日~4月5日の期間にインターネット調査により実施したものであり、回答者数は日系ならびに外資系法人組織における主任以上の意思決定者・意思決定関与者998人。
5月25日から施行開始予定であるGDPRの認知度・理解度を尋ねたところ、「内容について十分理解している」と回答したのは全体の10.0%にとどまった。「名前だけは知っている」、「知らない」という回答が全体の66.5%を占めており、GDPRに関する十分な認知・理解が進んでいない実態が明らかになった。
部門別・役職別にGDPRの認知度・理解度を見てみると、情報システム責任者(441人)の56.7%、リスク管理責任者(104人)の66.3%、法務部門責任者(169人)の70.4%、経営企画責任者(284人)の79.3%が内容を理解しておらず、個人情報保護やリスク管理といった直接的な責務から距離が大きくなるほど認知・理解が遅れているという。
個人情報およびプライバシー保護への対応を求めるGDPRに関して、自組織での経営リスクや法的リスクを把握しなくてはならない部門の意思決定層での理解が進んでいないことについて、同社は懸念を示している。
自身が勤める法人組織の国内・海外いずれかの拠点において、EEA(European Economic Area、欧州経済領域)参加国国民の個人情報を取り扱っていると回答した573人に対して、該当国での個人情報漏えい経験の有無を問うと、53.2%の回答者が自組織での漏えいを経験しているという。
また、漏えい経験者にその内容を尋ねたところ、サイバー攻撃によるものが33.3%と最多であり、従業員の過失や内部犯行と比較しても多かった。情報漏えいが発生し、GDPR違反が明らかになった場合は、最大で全世界売上高の4%または2000万ユーロが制裁金として課せられるが、これに加えて多様なインシデント対応コストが企業に発生するという。
顧客や取引先の信頼性を失うだけではなく、事業継続にも大きな影響を及ぼすことになると同社は指摘する。
EEA参加国国民の個人情報を取り扱っており、かつGDPRの内容について理解している299人を対象にGDPRへの対応状況を聞くと、対応済みという回答者は10%にとどまった。
GDPRが国内法人組織にも影響があり、違反時には制裁金として課せられる中で、70.3%が対応に着手していない現状は憂慮すべきだと指摘している。
GDPR対応は施行日までに完了しなくても制裁はないが、EEA参加国国民の個人情報を取り扱っている法人組織の53.2%がその国の個人情報の漏えいを経験している中で、自組織で深刻な事態が起きる前に対応に着手することが急務だと提言している。