ロイター企業調査：ＥＵ個人情報保護規則、対応は4割強　　　

［東京　２１日　ロイター］ - ６月ロイター企業調査によると、欧州連合 （ＥＵ）が域内の個人データ保護を強化するため５月に施行した「一般データ保護規則（ＧＤＰＲ）」について、影響があるとの回答は２割にとどまった。

ただ世界的なデータ利用の広がりもあり、情報保護規則の更新に取り組んでいる企業は４割強にのぼる。遅れが目立つのはハッカー対策等のシステム強化で、対応済みとしている企業は１割に満たなかった。

この調査は、ロイターが資本金１０億円以上の日本の中堅・大企業５３９社に調査票を発送。６月４日─１５日に実施。回答社数は２３０社程度。

＜認知不足の企業も＞

ＧＤＰＲの規制は欧州での事業のほか、国内で展開する事業でも通販や観光など欧州の顧客との取引が含まれる場合は対象となる。また従業員に欧州出身者がいる場合も適用される。

影響の有無を聞いたところ、「影響がある」は２１％、「影響はない」が７９％だった。

影響はないとの認識が多数を占める中で、日本企業の間では「まだよく認知できていない」（サービス）、「対策を要する事項が不透明」（非鉄金属）などといった声もあがっている。

しかし、現状で影響がなくとも、ＧＤＰＲは今後世界標準となる可能性がある。長島・大野・常松法律事務所の森大樹弁護士は「情報データを使ったビジネスを今後発展させていきたいという日本企業は多いと思うが、そうした企業が必ず整理して乗り越えていかないといけないルールのひとつになるだろう」と指摘する。データを扱うビジネスが広がる中で日本企業も十分意識していく必要がありそうだ。

企業の間でも「現時点では影響は軽微と考えるが、今後の波及も考えると積極的な対応を検討している」（ゴム）、「ＥＵ関係諸国との取引自体は存在しないが、ビッグデータに日々蓄積される個人情報の保護はいずれ世界中で要請されるだろう」（卸売）など、対応の必要性は認識されている。

業種別にみると、電機では６割近い企業が「影響あり」と回答。機械、輸送用機器、化学などでも３─４割と、影響があると回答する比率が高い。

その他の業種でも「欧州に拠点があるので対応せざるを得ない」（卸売）、「ＥＵ域内のグループ会社からデータ移転を受けており、移転が適法と認められるようＳＣＣ（データ輸出者と輸入者間の標準的契約条項）を締結した」（不動産）など、事業に関連してすでに対応を進めている企業がある。

「ＥＵ域内に拠点はないが、国内外に約５００店舗を展開しているため、従業員の個人データに関しては情報保護を慎重に行っている」（サービス）など、社内情報の管理に言及する企業もあった。

一方、新ルールについて「匿名化情報の活用を阻害する事があってはならない」（卸売）との意見も聞かれた。

＜保護ルール更新は３─４割、ハッカー対策は進まず＞

ＧＤＰＲに合わせて、実際に個人情報保護規則を更新したか、項目別に対応を聞いた。

比較的対応が進んでいるのは「個人データ取得の目的を明示して取得に同意を得る」で、対応済みが２６％、対応中の８％と今後対応の１５％を含めると、全体の４９％が対応を完了あるいは進めていることが分かった。

「データ保護の担当部署設置」についても２３％が既に対応済み。

「個人データの削除や訂正、アクセス件の要望に応ずる」は、１６％が対応済み。今後対応するとしている企業まで含めると、４６％が規則を更新する方向だ。

他方で、「データ侵害予防のための暗号化やシステム復元力確保」といった技術的な対応や、「顧客からの要望に応じて無償で個人データを提供する」体制の整備についてすでに実施している企業は全体の６─７％にとどまる。

「規制が厳しすぎる」（化学）といった見方のほか、「実際の運用には時間がかかるだろう」（電機）など、対応の難しさを挙げる企業もあった。

(中川泉　梶本哲史　編集：石田仁志)