改正個人情報保護法が全面施行されるのを前にトレンドマイクロが企業を対象に行った調査によると、対応が完了していないと回答した企業が全体の4割以上にのぼったということです。多くの企業で法改正への対応が遅れているようです。
対応していない企業が一定数存在
トレンドマイクロ(東京都渋谷区)では3月2日から4日に従業員100人以上で個人情報を扱っている法人組織の担当者800人にオンラインで調査を実施し、改正個人情報保護法への対応状況を聞いたということです。その結果、法改正への対応が完了していると回答した企業は59.4%にとどまり、40.6%は対応が未完了という回答だったということです。対応が未完了と回答した企業でも、「対応中で4月1日までには完了する予定」と回答した企業は27.1%、「対応中だが4月1日までには完了しない予定」と回答した企業が7.0%、未対応と回答した企業が6.5%だったということです。未対応の企業が6.5%とはいえ一定数あるのはやや驚きです。
企業の規模別にみると、従業員5000人以上の企業の73.5%が対応完了と回答したのに対し、従業員が100人から499人の企業では対応完了と回答した企業は48%にとどまり中小企業の対応が遅れている実態を伺わせています。一方で未対応と回答した企業の割合は、従業員5000人以上の企業は6.5%、従業員1000人から4999人の企業も6%を占めているのに対し、従業員500人から999人の企業は2.0%にとどまっており、一方で従業員100人から499人の企業では11.5%と高い割合となっています。
23.1%「報告や通知の義務化把握していない」
さらに過去1年間で個人情報の漏洩が発生したか聞いたところ、「複数回、発生している」と回答した企業が12.1%、「発生している」と回答した企業が18.3%を占め、調査をした企業の3割で個人情報の漏洩が発生しているという結果になったということです。個人情報が漏えいした理由について複数回答で聞いたところ、「従業員や委託先による不慮の事故(送信ミスなど)」が49.0%で最も多かったものの、「従業員や委託先による故意の犯行(内部犯)」が39.1%、「外部からのサイバー攻撃」が32.5%となり、全体としては不慮の事故による漏えいよりも犯罪による漏えいの方が多い結果になりました。
3割の企業で過去1年間に個人情報の漏えいがあった一方、改正個人情報保護法への対応については4割の企業が施行前の3月中に対応できていない状況ですが、改正個人情報保護法が個人情報の漏えいを個人情報保護委員会に報告することや本人に通知することを義務づけていることを把握しているかどうか聞いたところ、23.1%が義務化を把握していなかったということです。
EDRやXDRを導入している企業は13%にとどまる
さらに個人情報の漏えいを想定した訓練を行っている企業は28.3%だったということです。トレンドマイクロは「個人情報漏洩の報告義務は、速報(その時点で把握している事項)と確報(報告が求められる事項を全て報告する)があり、速報は事態を把握した時から5日以内、確報は事態を把握した時から30日以内(不正な目的によるおそれがある個人情報漏洩の場合は60日以内)に報告、通知する必要があります。そのため、どの情報が、いつ、どのように漏洩したのか、その原因究明までのスピードを今まで以上に意識していかなければなりません。平常時において、個人情報漏えい発生時の報告手順の整備や体制づくりを行っていくことが求められます」と指摘しています。
個人情報データへのアクセス権は厳格にすべきところ、調査結果では「(個人情報が保存されているサーバーへの適切な)アクセス権限の付与」を行っている企業は54.8%で、半分近くの企業はサーバーへの適切な権限付与が行われておらず、また、EDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)を導入している企業の割合も13.0%にとどまったということです。
トレンドマイクロは調査結果を受けて「改正個人情報保護法では個人情報が漏えいした原因を追究することが求められる。自組織の安全性を担保することに加え、委託先など他組織の安全性を確認することが重要」などとコメントしています。
■出典
https://www.trendmicro.com/ja_jp/about/press-release/2022/pr-20220330-01.html