GDPRは施行後、約2年が経過しようとしているが、日本企業の中には国内のみならずEUを含むグローバルでビジネスを行っている企業も多く、GDPRを無視できない。日本国内はEUとの間で十分性認定の合意をしたことで、個人情報保護法とGDPR補完ルールで対応することになったが、それでもGDPRを意識しないでいいわけではない。
GDPRに対する意識は前年の結果と比べ、「個人情報は移転しないようにしている」「GDPRを気にすることなく移転を行っている」企業が若干ながら減少し、代わって「GDPRにのっとったかたちで適正に個人情報の移転を行っている」企業が増加している。
GDPRへの対応状況
システムのセキュリティ面の脆弱性を検査して問題点を報告する情報セキュリティ監査を実施している企業の割合は、不定期の実施も含めれば、前年の調査では7割程度だが、今回の調査では9割超と拡大。サイバー攻撃に加えて、個人情報の漏洩や逸失などのセキュリティ関連のトラブルが増加していることが背景にあると指摘している。
情報セキュリティ監査の実施状況
調査結果についてITRのコンサルティング・フェローである藤俊満氏は「現在、新型コロナウイルス感染対策として、多くの企業ではテレワークや在宅勤務など勤務形態の変更が求められている。今回の調査結果を見ると、テレワークや在宅勤務などの社内制度とそのシステム面の整備が行われている企業はそれぞれ3割に満たず、またクラウドサービスを利用しているのは一部のシステムに限定されている企業が大半であることが明らかとなった。現在、これらの整備を急ピッチで実施することを迫られている企業が多い」とコメントしている。
また、藤氏は「クラウド移行の阻害要因のひとつにセキュリティ面の不安を挙げているが、認知されたインシデントとしては、例年通り、データや情報の紛失や盗難やマルウェア感染、モバイル端末(PCやタブレット、スマートフォン)の紛失や盗難が多いことに加えて、個人情報の漏洩や逸失、目的外利用・開示請求への不適切な対応など、個人情報を巡るトラブルが増加していることが見てとれる。このようなインシデントの発生に対応して、セキュリティ面の脆弱性を検査して報告する情報セキュリティ監査が大きな伸びを示している」と指摘する。
「今後、勤務形態の多様化のニーズがさらに拡大し、自宅やリモートオフィスなどからクラウドサービスを利用することが一般的になっていくと予想される。そのためには、社内と社外に分類した従来のネットワークとセキュリティから、ゼロトラストネットワークと呼ばれる次世代のネットワークとセキュリティのアーキテクチャに進化させることが望まれる」(藤氏)