IBMは、欧州での一般データ保護規制GDPR(General Data Protection Regulation)の施行日が迫るなか、34カ国15業界1,500社のGDPR準拠に携わったCPO(Chief Privacy Officers/最高プライバシー責任者)、CDO(Chief Data Officers/最高データ責任者)など組織内主要オフィサーへの調査結果を現地時間16日に発表(英文リリース)している。

2018年2月から4月にかけて行った調査から導かれた回答からのレポート(The end of the beginning: Unleashing the transformational power of GDPR(英文24ページのPDF))では、企業におけるデータの取り扱いに関する課題が多く噴出していることが明かになっている。

施行日となる25日の期限までにGDPRを完全遵守できると考える回答者は全体の36%。データ漏洩について72時間以内に当局に報告する"72時間ルール"への対応計画の再検討や更新企業は31%と少なく、保持できるデータ量の削減、個人データにアクセスできる人の数の削減、不要になったデータを廃棄するなど根本的な対策を講ずる回答も多い。

しかし、GDPRに取り組むことが消費者にプラスの差別化要因として受け止められる(回答者の84%)、新しいビジネス機会をもたらすデータ主体者との信頼関係の強化になる(回答者の76%)とデータプライバシーに応えていくことが最終的には重要であるという認識も多いことに注目すべきだろう。IBMをはじめ多くのITベンダーがGDPRはもちろんプライバシー問題を"人任せ"ではなく、"ITの力"で課題解決に取り組んでいる。GDPRはセキュリティ/プライバシー、カスタマーエンゲージメント、データアナリティクスの3つの要素が必要なため、組織内での異なる長や部署の連携が不可欠になる。簡単なものではない。

GDPRへの対応への積極的取り組みを図った22%の枠組みに入る"リーダー企業"は、データに対する責任とデータ管理に取り組む方法を徹底的に変革するビジネス機会としてGDPRを利用しており、このような企業の多くは自社のインシデント対応プロセスを修正(93%)、データディスカバリーを実施し、データ精度を維持する準備を整えた(79%)、新しい製品とサービスに対して、設計段階からセキュリティとプライバシーを充分に実装している(74%)という。

IBMセキュリティのデータ・セキュリティーおよびプライバシー担当CTOであるシンディー・コンパート(Cindy Compert)氏は、「GDPRは、あらゆる業種のビジネス・モデルに影響を与える最大の破壊力の1つであり、EUの境界線をはるかに超えてその影響は広がるでしょう。GDPRの施行は、企業の個人データ保護能力に対する不信感が消費者の間で高まっている時期とも重なっています。これらの要因が相まって最悪の状況が生まれた結果、企業はデータに対する責任への取り組み方を見直し、データに基づいた、現代の経済社会の中で必要とされる信頼を取り戻し始めています」と述べている。難しいからと諦めるのであれば、戻らざるを得ないがITやソリューションは進化し続けることになる。