株式会社アイ・ティ・アール
取締役 / プリンシパル・アナリスト　　入谷　光浩氏

本レポートでは、一般財団法人日本情報経済社会推進協会（以下、JIPDEC）が2026年1月に実施した「企業IT利活用動向調査2026」（調査協力：株式会社アイ・ティ・アール）集計結果の中から、プライバシー/個人情報保護に対する取り組み状況について調査した結果を分析している。

• 調査概要、分析レポート全文はこちら

個人情報保護に対する取り組みにおいて、特に注力している取り組みについて質問を行った（図34）。ここでは、特に注力している取り組みについて、1位～3位までを順位付けをして回答している。その結果、「個人情報保護管理者の任命」が1位に挙げた割合で最も高く、責任体制の明確化が個人情報保護の最優先事項として広く認識されていることがわかる。

「社員教育」は1位こそ「個人情報保護管理者の任命」に次ぐ水準にとどまるものの、2位と3位への回答割合が全項目中最も高く、1位から3位の合計では最上位となっている。個人情報漏えいの多くが人的ミスや内部不正に起因することを踏まえると、従業員への継続的な教育・啓発活動が個人情報保護の根幹として広く重視されていることがうかがえる。

「安全管理措置」と「規程類の整備」も上位に位置しており、技術的・物理的な対策の整備と社内ルールの策定が個人情報保護の基盤として重要視されていることが示されている。特に「規程類の整備」は2位への回答割合が高く、管理者の任命や教育と並んで組織的な取り組みの土台として位置付けられていることがうかがえる。

一方、「プライバシー保護ツールの導入」「第三者認証の取得」「個人情報保護監査の実施」「個人情報保護方針の公表」は相対的に低い水準にとどまっている。プライバシー保護ツールの活用や外部認証・監査といった高度な取り組みの普及はまだ限定的であり、個人情報保護の実効性をさらに高めるうえでの課題として残っている。

次に、2025年調査と比較を行った（図35）。「個人情報保護管理者の任命」は1位に挙げた割合が35.2%から33.2%へとわずかに低下しており、責任体制の整備がすでに一定程度定着し、他の取り組みへの関心が相対的に高まっていることが背景にあると考えられる。また、「社員教育」も1位への回答割合が20.4%から18.5%へと低下しており、最優先事項として位置付ける企業がわずかに減少している。一方で2位と3位への回答割合は増加しており、最優先ではないものの重要な取り組みとして継続的に重視する企業は引き続き多い。

「規程類の整備」も1位から3位の合計が前回調査から増加しており、社内ルールの整備・見直しへの関心が高まっている。一方、「安全管理措置」は前回調査とほぼ横ばいで推移しており、技術的・物理的な対策の整備については取り組みが一定程度定着した段階にあることがうかがえる。

データの越境移転の状況について質問を行った（図36）。データの越境移転とは、個人情報を海外の第三者に提供することである。プライバシー保護の観点から、各国・地域が規制を設けるなどの対応が行われている。ここでは2024年調査、2025年調査との比較を行っている。現在越境移転を行っている企業（「今後さらに増えていく」「今後もそれほど変わらない」「今後は減っていく」の合計）は2026年調査で69.1%と、2024年調査（64.4%）から増加しており、データの越境移転がより広く行われるようになっていることがわかる。

なかでも「現在行っていて、今後さらに増えていく」の割合が2025年調査の24.1%から2026年調査では27.6%へと上昇しており、越境移転をさらに拡大させる意向を持つ企業が着実に増えていることが示されている。この背景には、グローバルなビジネス展開やクラウドサービスの活用拡大があると考えられる。

それでは、データの越境移転先はどのような国・地域になっているのだろうか（図37）。「アジア太平洋地域（中国除く）」が現在の移転先として最も多く、「欧州地域」「中国」「北米地域」がこれに続いている。日本企業にとってアジア太平洋地域が最大のデータ越境移転先となっており、製造業やサービス業を中心とした域内のビジネス展開の広がりが背景にあると考えられる。

今後予定している移転先を見ると、「アジア太平洋地域（中国除く）」が最も多く、「北米地域」が続いている。「アフリカ地域」は現在の10.6%から今後予定では12.9%へと上昇しており、新興市場への越境移転が徐々に広がりつつある。

次に、2024年調査から2026年調査までの3年間の経年変化を見てみる（図38）。「欧州地域」への現在の越境移転は39.7%（2024年調査）から38.4%（2026年調査）へとわずかに低下しているものの、ほぼ横ばいで推移しており、引き続き主要な移転先として位置付けられている。

「中国」への越境移転は36.0%（2024年調査）から31.9%（2026年調査）へと低下傾向が続いている。中国のデータセキュリティ法や個人情報保護法の施行・強化を受け、リスク管理の観点から中国へのデータ移転を慎重に見直す企業が増えていることが背景にあると考えられる。

「アジア太平洋地域（中国除く）」は3年間を通じて最も高い現在の移転割合を維持しており、日本企業にとってアジア太平洋地域が引き続き最大のデータ越境移転先となっている。今後予定している移転先としても最上位を維持しており、域内ビジネスの拡大に伴いデータの流通がさらに活発化することが見込まれる。

「北米地域」は現在の移転割合が32.9%（2024年調査）から34.7%（2026年調査）へと上昇傾向にあり、クラウドサービスの活用拡大やデジタルビジネスの深化を背景に、北米との間のデータ流通が拡大していることがうかがえる。「南米地域」「アフリカ地域」「ロシア・中東地域」は絶対的な水準は低いものの、3年間で緩やかな上昇傾向が見られ、新興地域へのビジネス展開に伴うデータ越境移転が徐々に広がりつつある。

海外企業とデータをやり取りする際、どのような問題が生じているだろうか。2024年調査から2026年調査までの3年間の経年変化を見てみる（図39）。最も多く挙げられているのは「相手国と自国のデータ保護基準が一致しておらず調整が複雑になる」であり、3年間を通じて最上位を維持している。2026年調査では49.0%と約半数の企業が課題として認識しており、各国・地域のデータ保護規制の複雑さが越境データ流通の最大の障壁となっていることが示されている。

「データを安全に相手企業に送信できているかどうか不安である」は2025年調査の36.4%から2026年調査では38.9%へと上昇しており、データ送信時のセキュリティへの不安が高まっていることがうかがえる。「相手国のデータ保護規制の内容をすぐに理解できず対応に時間がかかる」も高い水準で推移しており、各国の規制動向を継続的に把握・対応するための体制整備が課題となっている。

「異なる国や地域のデータ関連規制に対応するためのコストがかかる」はほぼ横ばいで推移しており、規制対応コストが慢性的な負担として定着していることがうかがえる。「相手企業のデータ管理状況が把握できない」も一定程度存在しており、サプライチェーン全体を通じたデータガバナンスの確保が難しい実態が浮かび上がっている。

越境する個人データに関して企業等が一定の保護要件を満たしていることを国際的に認証する枠組みとして、CBPRがある。これは、国境を越えて流通する個人情報に対し、消費者や事業者、行政機関における信用を構築するシステムとなる。まず、CBPRを取得検討状況について質問を行った（図40）。「CBPRが必要であるかどうか勉強や情報収集をしている」が34.9%と最も多く、「CBPRの取得を検討している」（23.4%）と合わせると約6割の企業がCBPRへの関心を持ち、何らかの形で前向きに検討していることがわかる。

一方、「CBPRを知ってはいるが必要性はない」が22.3%、「CBPRを知らなかった」が12.1%存在しており、認知はしているものの自社への必要性を感じていない企業や、そもそも認知が及んでいない企業も相当数残っている。CBPRは越境データ移転の安全性を第三者が認証する仕組みであり、取引先や顧客に対するデータ保護への信頼性を示すうえで有効な手段であることの認識が、まだ十分に浸透していない状況がうかがえる。

次に、業種別に見てみる（図41）。「CBPRの取得を検討している」割合が最も高いのは情報通信（31.2%）と金融・保険（29.3%）であり、いずれも全体平均（23.4%）を大きく上回っている。情報通信はデータの越境移転が事業の根幹に関わる業種であり、金融・保険は顧客の機密情報を大量に扱うことから、データ保護への信頼性を対外的に示す手段としてCBPRへの関心が高いと考えられる。この2つの業種は「CBPRの取得を検討している」と「CBPRが必要かどうか勉強や情報収集をしている」の合計も高く、越境データ移転への対応が最も進んでいる業種群として位置づけられる。

さらに、従業員規模別に見てみる（図42）。「CBPRの取得を検討している」割合は5,000人以上で34.2%と最も高く、1,000～4,999人（27.5%）、300～999人（21.9%）と規模が小さくなるにつれて低下し、299人以下では8.8%と全規模中最も低い。大企業ほどグローバルなビジネス展開が広く、越境データ移転への対応が事業上の必要性として強く認識されていることが背景にあると考えられる。

299人以下の中小企業では「CBPRの取得を検討している」は8.8%にとどまる一方、「CBPRが必要かどうか勉強や情報収集をしている」が37.2%と全規模中最も高い。取得検討には至っていないものの、必要性を探りながら情報収集を進めている企業が多い。

CBPRを取得検討や情報収集を行っている企業に対し、その背景や動機について質問を行った（図43）。「取引先企業（国内外）や海外パートナーから認証取得を要請されている」が最も高く、外部からの要請がCBPR取得検討の最大の契機となっていることがわかる。自社の自発的な判断よりも、取引関係における要件充足がCBPR取得を後押しする主要因となっている実態が浮かび上がっている。

「EU GDPRと同等の水準のデータ保護をAPECでも実現するため」と「プライバシーに関する国際的な評価・ブランド価値を高めるため」がこれに続いており、GDPRへの対応経験を持つ企業がCBPRをGDPRと同等水準のデータ保護の枠組みとして位置付けていることや、データ保護の取り組みを対外的な信頼性向上に結びつけようとする意識が高いことがうかがえる。

「海外顧客との取引で越境データ移転に関する信頼性を示す必要がある」も高い水準にあり、顧客との信頼関係構築においてCBPRが有効な手段として認識されていることが示されている。「経営方針としてグローバルなデータガバナンス体制を構築する」や「国際的なプライバシー規制の強化に備えるため」も一定程度挙げられており、取引上の要件対応にとどまらず、経営レベルでの戦略的な取り組みとしてCBPRを位置付けている企業も存在していることがわかる。

近年、経営上の重要事項として、必ずしも法令遵守に留まらない形で、組織全体でプライバシー問題の適切なリスク管理に対して能動的に取り組むための体制を構築し、企業価値向上につなげるプライバシーガバナンスの重要性が高まりつつある。そこで、プライバシーガバナンスの取り組み状況について質問を行った（図44）。「組織全体のプライバシー保護に関する責任者を任命している」が3年連続で最上位を維持しており、2026年調査では39.3%へと上昇している。責任体制の明確化がプライバシーガバナンスの基盤として定着しつつある一方、「プライバシー保護のための組織を設置している」（35.0%）や「プライバシーガバナンスについての組織の姿勢が明文化されている」（35.1%）も上昇傾向にあり、責任者の任命にとどまらず、組織体制の整備や方針の明文化へと取り組みが深化していることがうかがえる。

「事業部門が関係部署と連携し、リスクマネジメントを行っている」は2025年調査の27.7%から2026年調査では30.1%へと上昇しており、プライバシーリスクへの対応が特定部門の責任にとどまらず、事業部門を巻き込んだ横断的な取り組みへと発展しつつあると考えられる。

プライバシーガバナンスに取り組んだことで、どのような変化が出ているのだろうか（図45）。「従業員エンゲージメントが向上した」と「顧客エンゲージメントが向上した」はいずれも2025年調査とほぼ同水準で最上位を維持しており、プライバシーガバナンスへの取り組みが従業員・顧客双方の信頼や満足度の向上に継続的に貢献していることが示されている。

2025年調査から最も変化が大きいのは「経営層のプライバシー保護に対する意識が高まった」であり、29.3%から33.0%へと上昇している。プライバシーガバナンスが現場レベルの取り組みにとどまらず、経営課題として意識される傾向が強まっていることがうかがえる。一方、「社員のプライバシー保護に対する意識が高まった」は37.3%から32.4%へと低下しており、社員の意識向上効果が一定程度定着してきた段階にある可能性が考えられる。また、社員の意識向上が、今回調査での経営層の意識向上を促したと考えることもできる。

「自社の製品・サービスの売上につながった」は23.3%から25.8%へと上昇しており、プライバシーガバナンスへの取り組みが事業成果に直結するケースが増えていることは注目される。「取引先の信頼獲得や先方が提示する取引条件のクリアにつながった」も12.1%から15.2%へと上昇しており、プライバシーガバナンスがビジネス上の競争力や取引要件の充足において実質的な効果をもたらしていることが示されている。

プライバシー保護に関するツールやシステムの導入状況について質問を行った（図46）。「個人情報管理システム」が唯一導入済みの割合が50%を超えており、個人情報の一元管理を目的としたシステムの導入が最も広く普及していることがわかる。個人情報保護法への対応を基盤として、個人情報の所在・取り扱いを管理するシステムの整備が先行して進んできた状況が反映されていると考えられる。

「個人情報検出ツール」と「データ匿名化ツール」がこれに続いており、個人情報の特定・保護に関わる基本的なツールの導入も一定程度進んでいる。「個人情報保護教育ツール」や「インシデント対応ツール」も30%台の導入率を示しており、人材育成や事故対応の面でもツールを活用する企業が増えていることがうかがえる。

次に、プライバシー保護を強化する技術であるプライバシーテック（PETs）の認知状況について質問を行った（図47）。最も認知度が高いのは「匿名化」であり、「技術の内容を詳しく知っている」と「技術の内容をある程度知っている」の合計が約7割に達している。匿名化はデータ保護の基本的な手法として長年活用されてきた経緯があり、他の技術と比べて認知・理解が進んでいることが背景にあると考えられる。「秘密計算」もこれに次ぐ認知度を示しており、データを暗号化したまま処理できる技術として注目が高まっていることがうかがえる。

一方、「差分プライバシー」「合成データ」「ゼロ知識証明」「連合学習」は「技術の内容を詳しく知っている」割合が20%台にとどまっており、名前は聞いたことがあるものの内容の理解が浸透していない層が相当数存在している。特に「ゼロ知識証明」と「連合学習」は「全く知らない」の割合が20%を超えており、認知自体がまだ限定的な段階にある。

本章では、プライバシー保護に関する取り組み状況について調査結果を分析した。そこから得られた考察を以下にまとめる。

1．個人情報保護の取り組みは基盤整備から実効性の強化へと移行が求められる： 個人情報保護管理者の任命や社員教育、規程類の整備といった基盤的な取り組みは広く定着しつつある。一方、プライバシー保護ツールの活用や外部認証・監査といった高度な取り組みの普及はまだ限定的であり、責任体制の構築にとどまらず、技術的対策や継続的な監査を通じた実効性の強化が今後の重要な課題となっている。

2．データの越境移転が拡大するなかで、規制対応とデータガバナンスの整備が急務となる： 越境移転を行っている企業は増加傾向にあり、アジア太平洋地域と北米地域を中心にデータの国際的な流通がさらに拡大していく見通しにある。しかし、相手国とのデータ保護基準の不一致や規制対応の複雑さ、送信時のセキュリティへの不安が慢性的な課題として残っており、移転先ごとの法令対応と包括的なデータガバナンス体制の整備が不可欠となっている。

3．CBPRは越境データ移転の信頼基盤として重要性が高まっている： CBPRへの関心は高まっており、特に情報通信、金融・保険、大企業での取得検討が進んでいる。取得の主な動機は取引先からの要請やGDPRと同等の水準の実現であり、ビジネス上の信頼確保に向けた手段として位置付けられている。

4．プライバシーガバナンスは法令遵守を超えた経営課題として定着しつつある： プライバシーガバナンスへの取り組みが従業員・顧客エンゲージメントの向上や売上増加、取引条件のクリアといった具体的な事業成果に結びついている企業が増えており、経営層の意識向上も進んでいる。プライバシーテック（PETs）の認知はまだ限定的であるものの、データ活用とプライバシー保護の両立に向けて、ツールの活用や新技術の理解を深めながら、プライバシーガバナンスを企業価値向上につなげる取り組みを継続的に推進していくことが重要となる。

本内容は、筆者自身の調査分析に基づく個人的見解で、JIPDECの公式見解を述べたものではありません。