知らぬ間に違法リスクも、個人情報保護法およびGDPR対策：7つのITトピックス 2018（1/3 ページ）

2018年5月施行のGDPR、2017年の改正個人情報保護法など、個人情報保護のルール改正が続く。特にGDPRでは単純な商取引の実態だけでは判断しきれないリスクがある。

[原田美穂，キーマンズネット]

　キーマンズネットでは、読者1549人を対象に「ITへの投資状況に関するアンケート調査」（実施期間：2017年12月11〜19日）を行った。

　調査結果を踏まえ、キーマンズネット編集部が2018年に注目すべき7つのITトピックスを選定、「働き方改革」「改正個人情報保護法、GDPR対策（本稿）」「Windows 10導入」「セキュリティ対策」「業務効率改善（RPA導入）」「デジタル変革」「AI（人工知能）活用」について、その実態を1カ月にわたり、順次掲載する。

　第2回である本稿では「改正個人情報保護法、GDPR対策」に関する意識調査の結果を見ていく。

調査結果サマリー

• 中小企業の4割は改正個人情報保護法の内容を認知していない
• 個人情報保護対策、中小企業で遅れが目立つ
• GDPRを「ほとんど知らない」が6割以上、対策実施は1割程度に
• 「EU圏と取引がない」だけでは安心できないGDPR、リスク認知は進まず

中小企業の4割は改正個人情報保護法の内容を認知していない

　2017年5月に施行された改正個人情報保護法についての認知度合いを聞いたところ、全体では「内容をある程度知っている」が53.4％と、過半数が一定の理解を示した一方で、「名前は聞いたことがある」とした回答者が25.4％も存在した。

図1　改正個人情報保護法への理解度（全体）

　2017年の改正では、小規模事業主（保有個人情報件数5000件以下の事業者）も罰則規定が適用されている。顧客や従業員の個人情報も保護対象になるため、実質的にほとんどの企業が規制対象になる。事業者には安全措置を講じる義務があるため、何をどう対処すればよいかを確認しておきたいところだが、今回の調査では、従業員規模で中小企業に該当する回答者では、「内容を詳しく理解している」「内容をある程度知っている」の合計は62.9％にとどまった。いまだ4割近い回答者では法規制の認知が進んでいないことが分かる結果となった。

　企業規模別に見ると従業員数が多くなればなるほど「内容をある程度知っている」の割合が高くなり、「名前は聞いたことがある」「知らない」の割合が低くなる傾向にあった。大企業の場合は個人情報保護法施行時から法規制の対象になっていたこともあり、法務部門や情報システム部門の認知が進んでいたことから、改正法への関心度合いが高かったのではないかと推察できる。

図2　改正個人情報保護法への理解度（従業員規模別）

　この他、改正個人情報保護法のガイドラインやチェックリストを読んだことがあるかを尋ねる設問では、回答者の33.6％が「読んだことがあり、内容を理解している」とした一方で、次点が「読んだことがない」（32.4％）であった。この設問では従業員規模別の分類での違いはほとんどなかった。