写真提供:マイナビニュース

写真拡大

ベリタステクノロジーズは4月27日、GDPR(EU一般データ保護規則)への対応に関して、米ベリタスが実施した最新調査の結果をまとめた「GDPRレポート 2017」を発表した。

テクノロジーセールス&サービス本部長 常務執行役員の高井隆太氏は、「データの増加、データの分断化、ストレージコストの増加に加えて、ビジネスにおいて重要かどうかの判断ができていない『ダークデータ』の存在など、今、情報の管理が困難な時代を迎えている。さらに、来年の5月25日にはGDPRが実施され、EU圏でビジネスを展開している企業は対応が必要となる。なお、」と、GDPRへの対応が必要な状況について語った。

なお、高井氏によると、いきなり罰金が科せられることはないと言われているが、ここまでデータのプライバシーについて定められている法律は初めてだという。

○グローバルに比べて対応の遅れが目立つ日本

GDPRレポートについては、米ベリタス グローバル情報ガバナンスプラクティスリード兼アジア・パシフィック日本地域アドバイザリー・コンサルティング責任者のクリス・パーク氏が説明を行った。

同レポートは、ヨーロッパ、アメリカ、アジア太平洋全体で900名を超える上級職にあるビジネス意思決定者を対象に行った調査結果をまとめたもの(日本の対象者は100名)。

回答者の31%が、GDPRへの準備ができていると考えており、多くの国が30%を超える中、日本(19%)とシンガポール(18%)が低い比率となったという。また、全回答者の47%が施行日までに対応することは難しいと考えており、日本(63%)、シンガポール(56%)、韓国(61%)は要件を満たせないリスクが高いことが明らかになった。

GDPRに違反していると見なされた企業は、2000万ユーロ、または全売上高の4%相当の金額のどちらか高いほうを罰金として科せられる可能性があり、GDPRに対応が遅れた場合のビジネスリスクは大きい。

GDPR に準拠できなかった場合の懸念については、グローバルで21%(日本は10%)の企業がレイオフのリスクを挙げているという。というのも、GDPRに違反したとして罰金が科せられると、従業員数の削減を余儀なくされる可能性があるからだ。

日本で最も多かった回答は「SNS/メディアの評判により顧客を失う懸念」で、コンプライアンス違反が公になることで、自社のブランドイメージに影響がおよぶ事態を懸念しているようだ。

また、回答者の32%(日本は25%)は、現在のテクノロジースタックではデータを効率的に管理できないという不安を抱えているが、この問題が、GDPR 準拠の重要な基準であるデータを検索・検出・確認する能力の妨げになっている可能性があるという。

加えて、回答者の39% (日本は31%)が、ビジネスに関連のあるデータを正確に識別、特定できないと回答しているが、GDPR の規制により、企業は当局の要請を受けてから 30 日以内に個人データのコピーを提供または削除することが義務付けられているため、データを識別・特定するためのテクノロジーも欠かせないものとなる。

さらには、全体の42%(日本も42%)が、データの価値に基づいてそのデータを保存するか削除するかを判断できる仕組みを持っていないと回答している。

GDPRでは、自分のデータがいつ収集されたのかを懸念する個人に通知する目的であれば、個人情報を保持することが認められているが、その目的のために保持する必要がない個人情報は削除することが義務付けられている。

企業がGDPRを遵守するための予算として見込んでいる金額は、グローバル平均が143万ドルだったのに対し、日本は124万ドルとなった。

○ベリタスのソリューションを活用したGDPR遵守のアプローチとは?

続いて、パーク氏はベリタスのソリューションを活用することで、どのようにしてGDPRの遵守を実現できるかについて説明した。

同社は、情報ガバナンスを実現するフローとして、「戦略・方針の作成」「組織と社員」「技術実装・利用」「セキュリティとコンプライアンス」から成るサイクルを掲げているが、これがGDPRの遵守に有効としている。

パーク氏によると、GDPRにおいて、どのような手順により対応すべきかは規定されていないという。

さらに、パーク氏はベリタスのソリューションを使ったGDPRのベストプラクティスのための5つのステップを紹介した。具体的に、5つのステップとは「データの特定」「データの検索」「データの最小化」「データの保護」「データの監視」を指す。

「データの最小化とは、データの分類をと保存期間に関するポリシーを定めることで、ポリシーから外れるデータを削除することを意味する。GDPRでは、目的以外のデータを削除することが規定されている」(パーク氏)

ちなみに、同社はGRPRのコンサルティングサービスとして、「ワークショップ」「アドバイザリ」「実装」「データの最適化」を提供している。

EU加盟国の国民の情報を処理する世界の企業に適用されるGDPR。したがって、グローバルでサービスを提供するクラウドサービスプロバイダーも適用の対象となるほか、EU圏のユーザーのCookieの監視を行っている場合も適用の対象となるという。

GDPRの適用まで約1年。自社のGDPRの対応状況について、今一度、確認されてはいかがだろうか。

(今林敏子)