一般財団法人日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は2019年3月26日、国内企業686社を対象に実施した「企業IT利活用動向調査2019」の一部結果を発表した。これによると、GDPR(EU一般データ保護規則)に未対応の企業がいまだに3割を超えている。一方、改正個人情報保護法対応では、個人識別符号に対する関心が増えている。
「企業IT利活用動向調査2019」では、GDPR(EU一般データ保護規則)への対応状況や、個人情報保護法改正およびJIS Q 15001(個人情報保護マネジメントシステム)改訂の影響、その他について調査・分析している。調査期間は2019年1月17日~同年2月4日。国内686社のIT/情報セキュリティ責任者からWebアンケート形式で回答を得ている。
GDPRは国内企業の3割超が未対応
図1は、2018年5月に施行したGDPRへの対応状況について、2018年に続いて調査した結果である。
拡大画像表示
前年調査は、施行前ということもあり、「存在を初めて知った」(11.1%)、「勤務先がどのように対応しているか知らない」(30.7%)、「GDPRを気にすることなく移転を行っている」(15.0%)といった、未対応の企業が半数を超えていた。
施行後に実施した今回の調査では、「GDPRにのっとったかたちで適正に個人情報の移転を行っている」企業が前年より8ポイント増加し34.4%を占めた。一方で、「知っているが何も対応していない」(13.5%)、「GDPRを気にすることなく個人情報の移転を行っている」(19.8%)と、現在も未対応の企業が3割超を占めた。
GDPRを巡っては、調査実施中の2019年1月末、個人情報保護法にGDPR補完ルールを追加することで十分性認定の合意が成立した。このことから、国内企業における対応のハードルは下がった。しかし、依然としてGDPR対応は重要な課題であり続けると、JIPDECとITRは指摘する。例えば中国などアジア諸国との取引に対しては、EU域外との取引の制限を受けることになるためである。
改正個人情報保護法対応で、個人識別符号に対する関心が増加
2017年5月の個人情報保護法の改正と2017年12月のJIS Q 15001(個人情報保護マネジメントシステム)の改訂から1年以上が経過したことを受け、調査では、改正内容について特に関心のある項目も尋ねている。
「個人識別符号の定義と範囲、取扱い」(39.9%)が最も関心が高く、「要配慮個人情報の定義と範囲、取扱い」(30.5%)、「匿名加工情報の定義と範囲、取扱い」(27.0%)が続く結果となった。
法改正を巡っては、当初は、マーケティング用途によるビッグデータ分析のために個人情報の匿名化(非特定化)が注目を集めていた。JIPDECとITRによると、社員のマイナンバーの取扱いなど、幅広い企業が影響を受ける個人識別符号のほうに、より関心が集中した。
調査の速報として、このほかにもいくつか発表している。情報セキュリティに関する支出では、認証取得にかける費用が増えている。総務省のパスワード定期変更不要の見解に対しては、5割以上が定期変更を継続している。情報セキュリティ・インシデントの認知率では、なりすましメールとWebサイトの不正アクセスが増えている。
調査結果の詳細は、JIPDECが2019年5月下旬に発行予定の『JIPDEC IT-Report 2019 Spring』に掲載し、Webで公開する予定である。