まず大前提として

• 暗号化

と

• 情報にアクセスするための認証基盤

は違います
ということは前置きしておきます

・大規模のCRMでクラウドにデータを保存しているとき、暗号化されていることと、暗号化されてないことでは、どちらが多いでしょうか？ほとんど暗号化されてないのでしょうか？

意識が低いところは生データを上げているようです
実際インターネット上のサーバーから情報が漏洩した事例を探すのに困らないレベルで上がっています

・たとえば、トヨタはアマゾンのクラウドにデータを預けているようですが、トヨタの顧客情報は、アマゾンの社員が見ることはできるのでしょうか？
・また、トヨタの企業秘密のような情報は、暗号化しているのでしょうか？

どのクラウドサービスがとは言えませんが、相当上位の権限がないとストレージに関連するところは触れないと漏れ聞いたことがあります
ので、建前上見られないことになっています
が、最近は聞かなくなりましたが米国愛国者法関連でクラウドサービスは云々と言われていたのはそれです
クラウドサービス会社が見るのではなくアメリカという国が見ちゃうぞ的なやつです

Amazonクラウド、「東京データセンターも、米パトリオット法の対象内」と説明

またこういう案件の時はふつうデータセンターと社内LANを直結します
たとえば
AWS Direct Connect
とか
いくらクラウド上のストレージを暗号化していても、インターネットを経由してどこからでもアクセスできるようだと危なくて仕方ないですからね

あと日本の法規制で国外のデータセンターに持ち出せないデータもあります
AmazonもMicrosoftも日本にデータセンターを置く大きな理由がこれだときいています

・開業医が使っているような小規模のCRMでは、暗号化されてないことのほうが普通でしょうか？

小規模な電カルシステムはわかりませんが、結構大手(パナとか)は外部連携のシステムにはちゃんとVPNを提案しているようです
少なくとも知り合いの開業医さんのところには入っています
あと医師会主導の奴はどうでしょうね
アクセス用の端末にiPadを配ってたと漏れ聞いていますが、電子証明書ログインではなくパスワード認証らしく、ちょっと使うのは怖いなあとのことでした