EUのみならず、世界中のビジネスに広範な影響を与えるであろうGDPRの施行まであと1カ月と少し。着実に対応を進める組織がある一方、GDPRコンプライアンスをどう達成すべきかに悩みながら、模索を続ける組織も多い。
デンマーク拠点のITベンダーとしてオンラインプレゼンスにおけるGDPRコンプライアンスをサポートする一方、自社もその準備を進めるSiteimproveが、EU内の一企業としてGDPR施行直前の状況をお伝えする。
GDPRとは
GDPRは、EU居住者の個人データを保護するという観点から、ヨーロッパ各国のデータプライバシー関連法令をEU全域にわたって初めて統合した規則である。その目的は、ヨーロッパ域内の居住者が、収集・保管されている自らの個人データを完全にコントロールできるようにすることだ。たとえ日本、アメリカ、オーストラリアといった国の企業や組織であっても、ヨーロッパ域内の居住者の個人データを扱っている場合はGDPRの影響を受けることになる。そして多くの個人データはWebサイト上にも存在している。
2017年からGDPRに関連した記事やホワイトペーパーが増え始め、セミナーも数多く開催されたが、これはヨーロッパに限ったことではなく世界で共通する現象だった。法律事務所や経営コンサルタント会社、会計事務所、ITベンダーが主催したイベントはしばしば満席となり、GDPRという新たな課題に組織がどう取り組むべきか、専門家による熱のこもった議論が展開されていた。
GDPRへの関心が高まっている要因として、その施行が5月25日に迫っていることがまず挙げられる。しかし、それだけではなく、データプライバシーに関するこの新たなルールがビジネスに及ぼす影響や制裁のリスクについて、懸念を抱く組織が多いという点も大きく関係している。制裁金ひとつをとっても、実際にどの程度適用されるのかが見えない中で混乱が生じている。こうした結果、多くの組織は「どこまで対策すればいいのか」と頭を抱えているようだ。
Siteimprove法務部のマス・ソーレンセン氏によれば、ヨーロッパ企業はようやく事の重大さに気付き始め、遅れを取り戻すべくGDPRコンプライアンスへの社内的な取り組みにリソースを投入し始めているという。
「弊社は世界中に6,000社以上のお客様を抱えていますが、多くのお客様がGDPR対策に本腰を入れ始めたのは、つい昨年のことでした。GDPRはチェックリストを作るだけで取り組めるほど簡単なものではないため、5月の施行に際して問題を抱える企業が多くなるかもしれません。確実にGDPRに準拠するには全社を巻き込み、対応手順草案の作成やセキュリティ対策の導入、社員研修のほか、定められた手順が実際に守られていることを確認する、といった包括的なアプローチが必要となります。とても一筋縄ではいきません」
GDPR施行日までに準拠する組織は15%
99条もあるGDPRに目を通せば、多くの組織がGDPRへの対策に手を焼き、具体的な行動に移しかねている状況もうなずける。さらに、曖昧な条文をもとに決められた要件を満たさなければならないため、越えるべきハードルはいっそう高くなっている。
現在、組織はGDPRコンプライアンスに向けてどのような体制を整え、導入計画はどの程度進んでいるのか。また、5月25日までにその計画を実現できる見込みはどの程度あるのか。
ヨーロッパの組織や業界を対象に、デロイトが行った大規模なベンチマーク調査を見ると、高額な制裁金のリスク、高まるGDPRコンプライアンスの必要性、そして法的要件の複雑性を懸念した企業各社が、さまざまな対応を行っている様子が浮かび上がる。
とはいえ、準拠達成に向けたアプローチや支出については、組織によってかなりの幅がある。支出が10万ユーロ未満と回答した組織が39%を占めたものの、500万ユーロ以上と回答した組織も15%あった。何よりこの調査で最も注目したいのは、5月までに準拠を達成できると考えている組織は全体の15%にとどまり、リスクベースで受け身の対策を取ると回答した組織が62%にのぼるという点だ。
つまり、組織の多くが準拠に向けて必要な対策を立てる時間が不足していると感じており、状況に応じたリスク軽減という形で対応を進めるつもりなのである。
数週間前に発表されたばかりのフォレスター・リサーチの調査も、デロイトの調査結果を基本的に裏付けるものだ。この調査では、GDPRコンプライアンスに向けた対策が着実に進められている一方で、各業界で多くの間違った対策が行われていることも散見され、全体として引き続き認識不足があるとまとめられている。