トレンドマイクロは2022年3月30日、調査レポート「改正個人情報保護法における法人組織の実態調査」の結果を発表した。調査は企業・組織の改正個人情報保護法対応の推進担当者800人を対象に実施。調査からは、1年以内に3割以上で情報漏洩が発生しているにもかかわらず、改正法への理解や漏洩時の対策が不十分な企業が多くを占める現状がうかがえる。
トレンドマイクロは、調査レポート「改正個人情報保護法における法人組織の実態調査」の結果を発表した。同調査は個人情報を取り扱う企業・組織で改正個人情報保護法対応の推進担当者800人を対象に、2022年3月2日~4日にオンラインで実施した。
施行1カ月前時点で4割が対応未完了
2022年4月1日に改正個人情報保護法が施行され、個人情報を取り扱う全事業者が対象となり、法改正への対応を完了する必要がある。しかし、トレンドマイクロの調査では、施行1カ 月前の2022年3月時点で「法改正への対応が完了している」と回答した法人組織は59.4%、40.6%は「未完了」と回答。また、「対応中であり、4月1日までに完了しない予定」(7.0%)、「未対応」(6.5%)の回答もあり、法改正対応が相当遅れている企業も見受けられる。
企業規模別で見ると、従業員数5000人以上の企業では「対応完了」「対応中、4月1日までに完了予定」が91.5%だが、100人~499人の企業では75.0%にとどまる(図1)。
図1:法人組織の改正個人情報保護法への対応状況(出典:トレンドマイクロ)拡大画像表示
トレンドマイクロは背景として、過去1年間の個人情報の漏洩について、「要配慮個人情報の漏洩、財産的被害が発生するおそれがある情報」「不正な目的をもって行われたおそれがある情報」「1000件以上」のいずれかが発生したかを尋ねている。その結果、「複数回、発生している」(12.1%)、「発生している」(18.3%)と、約3割の企業で漏洩事案が発生していることが判明した(図2)。
図2:過去1年間、個人情報漏洩発生の有無(出典:トレンドマイクロ)拡大画像表示
漏洩理由は「従業員や委託先による不慮の事故(送信ミスなど)」が49.0%で最多だが、「従業員や委託先による故意の犯行(内部犯)」(39.1%)、「外部からのサイバー攻撃」(32.5%)と社内外の理由によって情報漏洩が発生している(図3)。「個人情報を扱う企業においては、メールの誤送信などの不慮の事故を防ぐ対策に加えて、不正な意図を持った情報漏洩の発生を前提とした対策が求められる」と同社は述べている。
図3:個人情報漏洩の理由(複数回答)(出典:トレンドマイクロ)拡大画像表示
義務化された漏洩時の報告・通知を把握は2割
今回の法改正では、ガイドラインに定める条件を満たした上で、個人情報漏洩が起こった場合、個人情報保護委員会への報告や本人への通知が義務化された。
個人情報漏洩の報告義務には、「速報」と「確報」がある。速報は事態把握時から5日以内にその時点で把握している事項、確報は30日以内に報告が求められている事項をすべて報告・通知することとされている(不正な目的によるおそれがある個人情報漏洩の場合は60日以内)。しかし調査では、義務化については、23.1%が「把握できていなかった」と回答している(図4)。
図4:報告義務発生の把握状況(出典:トレンドマイクロ)拡大画像表示
さらに、個人情報漏洩が発生した際、個人情報保護委員会や本人に対して迅速に通知するための対応については、「報告先の明確化」(46.9%)、「社内のどの部署が報告、通知するかの明確化」(45.5%)、「個人情報が漏洩したことを想定した対応訓練」(28.3%)「本人への報告手段の明確化」(27.4%)と、対応整備が進んでいない企業も見受けられる(図5)。同社は「個人情報漏洩発生時の報告手順の整備や体制づくりを平常時に行っておくことが重要」と述べている。
図5:情報漏洩発生時、個人情報保護委員会や本人に対して迅速な報告・通知のために行っている対応(複数回答)(出典:トレンドマイクロ)拡大画像表示
●Next:約半数以上が自組織/取引先の漏洩対策不十分
会員登録(無料)が必要です
- 1
- 2
- 次へ >
