知らぬ間に違法リスクも、個人情報保護法およびGDPR対策：7つのITトピックス 2018（3/3 ページ）

GDPRを「ほとんど知らない」が6割以上、対策実施は1割程度に

　次に2018年5月に施行するEU「一般データ保護規則（General Data Protection Regulation: GDPR）」の認知度合いを聞いた。

　全体では「知らない」が36.2％と最も高く、次いで「名前は聞いたことがある」（31.1％）の順となった。認知していないか、あるいは内容を知らないとした回答者が6割を超える結果となった。

　一方で「内容を詳しく理解しており、対策を完了している（2.9％）」「内容を詳しく理解しており、対策を始めている（7.8％）」「内容をある程度知っているが、対策を行っていない（21.7％）」となり、「内容を知っている」に分類できる回答の割合は32.4％であった。「何らかの対策を実施している」に分類できる回答の割合は10.7％にとどまった。

図4　GDPRの認知度

「EU圏と取引きがない」だけでは安心できないGDPR、リスク認知は進まず

　GDPRに対して、何らかの対策を行っているとした回答者以外を対象に、対策を行わない理由を尋ねた。

　このうち、内容をある程度知っているが対策を行っていないと回答したグループでは、「危機感を持って調査中」あるいは「対策方法を検討中」とするフリーコメント声が多く、いずれは対策を行うべく準備をしている段階にあると推定できる。

　それ以外のグループでは、「よく分からないから」「必要性を感じないから」という意見が多く、「EU圏とは取引がないので関係ないはずだ」という意見も見られた。

　しかし、GDPRでは、IPアドレスなどの「オンライン識別子」も保護対象の「個人データ」とされている。欧州経済領域の外部、例えば日本国内でWebサイトを運営していて、アクセスログを日本国内で収集している場合、ログの中に欧州経済領域内のIPアドレスが含まれているケースは、GDPRの規制対象になり得ると考えられる。

　また、GDPRが保護する対象は、欧州経済領域の市民だけでなく、例えばこの地域に滞在する日本人の個人データも対象になるとされる。欧州からメールアドレスなどの署名が記された電子メールを受信し、国内のメールアーカイブサーバに記録した場合などを考えると、必ずしも直接的な商取引だけが規制対象でないことに注意しなければならない。

　こう考えると、規制対象に該当する企業は想像以上の広がりを持つ可能性があるのだが、今回の調査では、こうしたリスク情報が十分に広まっていないことが明らかになった。

　該当企業には、要請があれば情報を適切に削除できる状態が求められるため、規制対象個人データがどこでどう管理されているかを体系立てて整理し、何らかの要請があった場合の対応方法も整備しておくべきだろう。