~GDPRコンプライアンスの重要ステップであるデータの把握において、多くの企業が深刻な問題に直面していることが浮き彫りに~
2017年4月27日 - 情報管理ソリューションのリーダー企業であるベリタステクノロジーズ合同会社(本社:東京都港区)は、本日、GDPR (EU一般データ保護規則)への対応に関して、米ベリタスがグローバルに実施した最新調査の結果をまとめた「GDPRレポート 2017」を発表しました。 レポートによれば、施行が迫っているにもかかわらず、世界の 86% (日本は72%)の企業がGDPR への対応に不安を抱いており、自社の事業に深刻な影響がおよぶ事態になると懸念しています。 このうち 20%に 近い(日本は10%)企業が、コンプライアンス違反により事業の撤退を強いられる可能性を危惧しています。実際に、規制違反とみなされた企業は、2,000 万ユーロ、または全売上高の 4% 相当の金額のどちらか高い方を罰金として科せられる可能性があります。
GDPR では、個人に関する情報 (以下 個人情報) のガバナンスの枠組みをEU 加盟国全体で確立するために、クレジットカード、銀行、医療などの個人情報がどこにどのように保存され、転送されているか、また、これらのデータへのアクセスについて企業がどのように規制・監査しているかを厳格に管理することが求められています。2018 年 5 月 25 日に施行される GDPR の影響は EU 内の企業だけでなく世界中におよび、EU 市民に対して商品やサービスを提供したり、購買習慣の追跡で EU 市民の行動のモニタリングを行っているようなすべての企業に関係します。
◆日本企業の60%以上が施行日までに対応するのは難しいと回答
「GDPRレポート 2017」は、ベリタスが 2017 年2月から3月にかけて、ヨーロッパ、アメリカ、アジア太平洋全体で 900 名を超える上級職にあるビジネス意思決定者を対象に行った調査結果をまとめたものです(日本の対象者は100名)。これによると、世界中の 47% もの企業が、施行日までに対応することは難しいと考えており、特に、日本は63%で、シンガポール(56%)および韓国(61%)と共に対応の遅れが目立ちます。
◆GDPR に準拠できなかった場合の懸念はブランド価値や顧客喪失
グローバルで21%(日本は10%)の企業がレイオフのリスクを懸念しています。GDPR コンプライアンス違反のために罰金が科せられれば、従業員数の削減を余儀なくされる可能性があるからです。 情報漏えいを起こした企業には、対象者にそのことを通知する義務も新たに課せられます。そのため企業は、コンプライアンス違反が公になり、自社のブランドイメージに影響がおよぶ事態を懸念しています。回答者の 19%(日本は21%) が、メディアやソーシャル・ネットワークで情報漏えいが取り上げられて顧客を失う可能性を危惧していました。
また、回答者の 10 人に 1 人以上 の12%(日本も12%)が、ネガティブな報道によってブランドの価値が損なわれることを非常に懸念しています。
図 1:「GDPR に準拠できなかった場合にもたらされる可能性がある影響のうち、最も懸念しているものは何ですか?」
◆テクノロジーの欠如が GDPR 対応の妨げに
GDPR のコンプライアンス要件を満たす過程において最初の重要なステップであるにもかかわらず、どのようなデータを保持しているか、そのデータがどこにあるか、また、ビジネスとの関連性を把握することにおいて、多くの企業が深刻な問題に直面していることが浮き彫りになりました。そして、企業の多くは規制に対処できる適切なテクノロジーを持っておらず、こうした問題の解決に苦労していることが回答結果から明らかになっています。
たとえば、回答者の32%(日本は25%) は、現在のテクノロジースタックではデータを効率的に管理できないという不安を抱えています。このテクノロジーの問題が、GDPR 準拠の重要な基準であるデータを検索・検出・確認する能力の妨げになっている可能性があります。
また、回答者の 39% (日本は31%)が、ビジネスに関連のあるデータを正確に識別、特定できないと回答しています。GDPR の規制により、企業は当局の要請を受けてから 30 日以内に個人データのコピーを提供、または削除することが義務付けられます。そのため、データを識別・特定するためのテクノロジーも企業にとって欠かせないものです。
さらに、データの保持についても懸念が広がっています。全体の42%(日本も42%) が、データの価値に基づいてそのデータを保存するか削除するかを判断できる仕組みを持っていないと回答していました。GDPR では、自分のデータがいつ収集されたのかを懸念する個人に通知する目的であれば、個人情報を保持することが認められています。しかし、その目的のために保持する必要がない個人情報は削除することが義務付けられています。
◆GDPR への対応に必要な費用
回答者の 31%が、GDPR への準備ができていると考えています。多くの国が30%を超える中、日本(19%)とシンガポール(18%)が低い比率となりました。コンプライアンスへの対応を進めている企業は、平均で 100 万ユーロ単位の費用をかけています。GDPR に対応するための取り組みに必要な額は、平均で 140 万ドル超になると企業は予測しています。
◆世界中で起こり得るコンプライアンスの問題
世界の多くの企業が、GDPR のコンプライアンス要件への対応において大きく出遅れています。
「GDPR が施行されるまでわずか 1 年 余りですが、『目に見えないものは気にしない』という姿勢が今も世界中の企業に見られます。しかし、EU を拠点としているかどうか、あるいは EU でビジネスをしているかどうかにかかわらず、この規制は適用されるのです」と、ベリタスのエグゼクティブバイスプレジデント兼最高製品責任者の マイク・パーマー(Mike Palmer) は述べています。「現実的な次のステップは、現時点の準備状況をチェックし、コンプライアンスに準拠できる戦略を構築してくれるアドバイザリーサービスを見つけることです。今すぐ対応しなければ、雇用、ブランドの信頼性、そして企業の存続が問われることになります。」
◇企業が GDPR に対応する方法について、詳細は以下のベリタスWeb サイトをご覧ください。
https://www.veritas.com/ja/jp/solution/general-data-protection-regulation
◇調査方法
ベリタスはテクノロジマーケットの調査を専門とする独立系企業の Vanson Bourne 社に調査を依頼しました。2017 年 2 月から 3 月にかけて、米国、イギリス、フランス、ドイツ、オーストラリア、シンガポール、日本、韓国の合計 900 名(内日本100名)の企業の意思決定者がインタビューを受けました。回答者が所属するのは従業員数 1,000 名以上の企業で、部門はさまざまです。回答者の企業が EU 域内で何らかの事業を展開しており、そのために EU 域内の居住者の個人情報 (PII)を保有していることが条件とされました。
以上
■Veritas Technologies LLC について
https://www.veritas.com/ja/jp/
Veritas Technologies LLCは、世界最大規模の非常に複雑な異種混在環境をサポートするために設計されたソリューション群を通じて、所有する情報を有効活用する力をお客様に提供します。ベリタス製品は、現在 Fortune 500 企業の 86% にご利用いただいており、データ可用性の向上とインサイトの提供によってお客様の競合優位性を高めています。ベリタステクノロジーズ合同会社は、ベリタスグループの日本法人です。
*Veritas、Veritasロゴ は、Veritas Technologies LLC または関連会社の米国およびその他の国における商標または登録商標です。
*その他製品名等はそれぞれ各社の登録商標または商標です。
将来に関する記述: 製品の今後の予定についての将来に関する記述は予備的なものであり、未来のリリース予定日はすべて暫定的で、変更の可能性があります。今後の製品のリリースや予定されている機能修正についてはベリタスが継続的な評価を行なっており、実装されるかどうかは確定していません。ベリタスが確言したと考えるべきではなく、購入決定の理由とすべきではありません。