株式会社インサイトテクノロジーは2022年7月5日、「上場企業の改正個人情報保護法に対する意識調査」の結果を発表した。調査日は2022年6月16日で、上場企業のDX推進部門・情報セキュリティ部門・情報システム部門の担当者、計105名から回答を得ている。これにより、企業の「改正個人情報保護法」への対応状況や、セキュリティ施策の内容などが明らかとなった。
改正個人情報保護法を「認知のうえで対応済み」の上場企業は6割程度に。セキュリティ予算や実施施策の内容とは

「改正個人情報保護法」に対する企業の認知・対応状況とは

2022年4月に「改正個人情報保護法」が施行されたが、企業の対応状況はどのようになっているのだろうか。

はじめにインサイトテクノロジーが、「自身が知っている改正個人情報保護法の項目・ポイント」について、3項目に分けて聞いている。その結果、項目1の「情報漏えい等発生時、知った時点から概ね3~5日以内に速報、同時点から原則として30日以内に確報という報告の義務が発生」に関しては、「知っていて、対応をしている」が74.3%、「知っているが、対応をしていない」が8.6%、「知らない」が17.1%だった。

また、項目2の「個人データの提供者が個人情報取扱業者に対して、どのような内容のデータが提供されたのかを第三者提供記録について開示請求することが可能」については、「知っていて、対応をしている」が61.9%、「知っているが、対応をしていない」が19%、「知らない」が19%だった。

続いて、項目3の「罰金の金額が1億円以下に引き上げられた」に関しては、「知っていて、対応をしている」が54.3%、「知っているが、対応をしていない」が17.1%、「知らない」が28.6%となった。項目1・2では約2割が、項目3では約3割が「知らない」という実態が明らかとなった。
改正個人情報保護法について知っている項目

8割以上の企業が「数年以内に体制整備予定」か

続いて同社は、改正個人情報保護法の項目・ポイントについて「知っているが、対応をしていない」とした回答者に対し、「自社において、この先体制を整えていく予定はあるか」を質問している。すると、先の項目1では、「1年以内に体制を整える予定」が65.6%、「3年以内に体制を整える予定」が21.9%、「未定」が12.5%だった。

また、項目2については、「1年以内に体制を整える予定」が46.9%、「3年以内に体制を整える予定」が34.4%、「未定」が18.8%だった。2つの項目とも、8割以上が「数年以内に体制を整える予定」としていることが判明した。
自社でこの先体制を整えていく予定はあるか

セキュリティ予算を「1億円以上」に設定する上場企業は2割以上に

次に、同社が「勤務先のセキュリティ予算」について尋ねると、単独の回答で最も多かったのは「1億円以上」で24.8%だった。他方で、「1,000万円~3,000万円未満」が23.8%、「3,000万円~5,000万円未満」および「5,000万円~1億円未満」がともに16.2%などとなり、1億円未満の企業の合計は68.6%となった。
勤務先のセキュリティ予算

行っている情報セキュリティ施策は「PCへのウイルス対策ソフトの導入」が最多

続いて、同社が「自社で現在行っている情報セキュリティの施策」について質問したところ、「PCへのウイルス対策ソフトの導入」が72.4%で最も多かった。以下、「PC操作のログ取得」が58.1%、「ファイアウォールの設置」が50.5%などと続いた。

また、自由回答では、「情報セキュリティ研修」、「ゼロトラスト」、「ランサムウェアへの個人対応の啓蒙」などの声が寄せられた。
現在行っている情報セキュリティの施策

約半数が情報漏えいは「外部犯行が多い」と回答

次に、同社は「情報漏えいは、外部犯行と内部犯行のどちらが多いと思うか」を尋ねた。その結果、「外部犯行のほうが多い」が22.9%、「やや外部犯行が多い」が24.8%で、合計47.7%だった。一方、「内部犯行のほうが多い」は12.4%、「やや内部犯行が多い」は9.5%で、合計21.9%だった。情報漏えいについて、「外部犯行のほうが多い」と認識している人が多数であることがうかがえる。
情報漏えいは、外部犯行と内部犯行のどちらが多いと思うか
本調査より、「改正個人情報保護法」について、知らない項目がある人や、対応未実施の企業が存在することがわかった。今後の対応方法や施策について、社内での検討を進めていきたい。

この記事にリアクションをお願いします!