来年5月に施行が迫るGDPR、準備ができている日本企業は19% - いかに対応すべきか?

ベリタステクノロジーズテクノロジーセールス＆サービス本部長常務執行役員高井隆太氏

ベリタステクノロジーズは4月27日、GDPR(EU一般データ保護規則)への対応に関して、米ベリタスが実施した最新調査の結果をまとめた「GDPRレポート 2017」を発表した。

テクノロジーセールス＆サービス本部長常務執行役員の高井隆太氏は、「データの増加、データの分断化、ストレージコストの増加に加えて、ビジネスにおいて重要かどうかの判断ができていない『ダークデータ』の存在など、今、情報の管理が困難な時代を迎えている。さらに、来年の5月25日にはGDPRが実施され、EU圏でビジネスを展開している企業は対応が必要となる。なお、」と、GDPRへの対応が必要な状況について語った。

なお、高井氏によると、いきなり罰金が科せられることはないと言われているが、ここまでデータのプライバシーについて定められている法律は初めてだという。

GDPRの主要要件

グローバルに比べて対応の遅れが目立つ日本

米ベリタス　グローバル情報ガバナンスプラクティスリード兼アジア・パシフィック日本地域アドバイザリー・コンサルティング責任者クリス・パーク氏

GDPRレポートについては、米ベリタス　グローバル情報ガバナンスプラクティスリード兼アジア・パシフィック日本地域アドバイザリー・コンサルティング責任者のクリス・パーク氏が説明を行った。

同レポートは、ヨーロッパ、アメリカ、アジア太平洋全体で900名を超える上級職にあるビジネス意思決定者を対象に行った調査結果をまとめたもの(日本の対象者は100名)。

回答者の31%が、GDPRへの準備ができていると考えており、多くの国が30%を超える中、日本(19%)とシンガポール(18%)が低い比率となったという。また、全回答者の47%が施行日までに対応することは難しいと考えており、日本(63%)、シンガポール(56%)、韓国(61%)は要件を満たせないリスクが高いことが明らかになった。

GDPRに違反していると見なされた企業は、2000万ユーロ、または全売上高の4%相当の金額のどちらか高いほうを罰金として科せられる可能性があり、GDPRに対応が遅れた場合のビジネスリスクは大きい。

GDPR に準拠できなかった場合の懸念については、グローバルで21%(日本は10%)の企業がレイオフのリスクを挙げているという。というのも、GDPRに違反したとして罰金が科せられると、従業員数の削減を余儀なくされる可能性があるからだ。

日本で最も多かった回答は「SNS/メディアの評判により顧客を失う懸念」で、コンプライアンス違反が公になることで、自社のブランドイメージに影響がおよぶ事態を懸念しているようだ。

また、回答者の32%(日本は25%)は、現在のテクノロジースタックではデータを効率的に管理できないという不安を抱えているが、この問題が、GDPR 準拠の重要な基準であるデータを検索・検出・確認する能力の妨げになっている可能性があるという。

加えて、回答者の39% (日本は31%)が、ビジネスに関連のあるデータを正確に識別、特定できないと回答しているが、GDPR の規制により、企業は当局の要請を受けてから 30 日以内に個人データのコピーを提供または削除することが義務付けられているため、データを識別・特定するためのテクノロジーも欠かせないものとなる。

さらには、全体の42%(日本も42%)が、データの価値に基づいてそのデータを保存するか削除するかを判断できる仕組みを持っていないと回答している。

GDPRでは、自分のデータがいつ収集されたのかを懸念する個人に通知する目的であれば、個人情報を保持することが認められているが、その目的のために保持する必要がない個人情報は削除することが義務付けられている。

企業がGDPRを遵守するための予算として見込んでいる金額は、グローバル平均が143万ドルだったのに対し、日本は124万ドルとなった。