施行目前のEU一般データ保護規則（GDPR）、企業責任者の66.5％はGDPRを「知らない」「理解していない」～トレンドマイクロ調査

　トレンドマイクロ株式会社は17日、法人組織の意思決定者・意思決定関与者を対象にした、「EU一般データ保護規則（GDPR）対応に関する実態調査」の結果を公表した。GDPRに関する認知度・理解度については、「内容について十分理解している」という回答は全体の10.0％で、「名前だけは知っている」「知らない」という回答が全体の66.5％を占めるなど、5月25日の施行開始を目前に、GDPRに関する十分な認知・理解が進んでいない実態が明らかになったとしている。

　調査の実施期間は3月27日～4月5日。回答者は日系ならびに外資系法人組織における主任以上の意思決定者・意思決定関与者998人。調査手法はインターネット調査。

　部門別・役職別のGDPRの認知度・理解度についても、情報システム責任者の56.7％、リスク管理責任者の66.3％、法務部門責任者の70.4％、経営企画責任者の79.3％が内容を理解していないと回答。個人情報保護やリスク管理といった直接的な責務から距離が大きくなるほど認知・理解が遅れており、個人情報ならびにプライバシーの保護への対応が求められるGDPRに関して、自組織での経営リスク、法的リスクを把握しなくてはならない部門の意思決定層での理解が進んでいないことは大いに懸念されるとしている。

EU GDPRの認知度・理解度（n=998）

　自身が勤める法人組織の国内・海外いずれかの拠点において、EEA（European Economic Area：欧州経済領域）参加国国民の個人情報を取り扱っていると回答した573人のうち、半数以上の53.2％が自組織において当該個人情報の漏えいを経験していると回答。また、同じ573人を対象に、どのような情報漏えいを経験したことがあるか尋ねたところ、「サイバー攻撃」によるものが33.3％と最も多く、「従業員の過失」（29.5％）や「内部犯行」（24.1％）と比較しても多くなった。

　トレンドマイクロでは、万が一、情報漏えいが発生し、GDPR違反が明らかになった際には、最大で全世界売上高の4％あるいは2000万ユーロが制裁金として課せられるとともに、さまざまなインシデント対応コストが発生することになり、顧客や取引先の信頼性を失うばかりではなく、事業継続にも大きな影響を及ぼすと警告している。

　EEA参加国国民の個人情報を取り扱っており、かつGDPRの内容について理解していると回答した299人を対象にGDPRへの対応状況を尋ねた質問でも、「対応済み」と回答した割合は10％にとどまった。GDPRが国内法人組織にも影響があり、違反時には制裁金が課せられる中で、70.3％が対応に着手していない現状は憂慮すべき事態だとしている。

　トレンドマイクロでは、GDPR対応は施行日までに完了しなくても制裁はないが、EEA参加国国民の個人情報を取り扱っている法人組織の53.2％が当該個人情報の漏洩を経験している中で、自組織で深刻な事態が起きる前に対応に着手することが急務と言えるとしている。