~施行までの17 カ月以内に対応できない企業は コンプライアンス違反による多額の罰金を負うことに~
2017年 1 月 11 日 –情報管理ソリューションのリーダー企業であるベリタステクノロジーズ合同会社(本社:東京都港区、代表執行役員社長:西村隆行、以下ベリタス)は、ベリタスがグローバルに実施した調査によると、半数以上の企業が、EUの一般データ保護規制 (GDPR) の最小コンプライアンス要件への対応ができていないという事実が明らかになったことを発表します。
GDPR は、EU 全域を対象にデータのセキュリティ、保持、ガバナンスの枠組みを定めており、個人情報、クレジットカード、銀行、医療などの機密データがどこにどのように保存され、転送されているか、また、これらのデータへのアクセスが企業でどのように規制および監査されているかを、厳格に管理することが求められています。GDPR の影響は EU 加盟国だけでなく、米国、日本などその他の国々にまで及び、EU加盟国に支店を持つ海外企業をはじめとして、EU 領域で、または EU 加盟国の企業とビジネスを行うすべての企業に関係します。
ベリタスが、2016 年にヨーロッパ、中東、アフリカ、米国、アジア太平洋全体で 2,500 人を超える IT 意思決定者を対象に行った調査「グローバルデータバーグレポート」(※)によると、54% の企業が GDPR のコンプライアンス体制に対応できていないことがわかりました。この法律が施行される 2018 年 5 月までに EU が定めた公布期間の 4 分の 1 が過ぎた時点での回答からは運用、コンプライアンス、計画にまつわる数多くの問題が浮き彫りになりました。特に、GDPR プロセスの管理や、データクレンジングポリシーとライフサイクル終了要件への対応が問題となっています。
GDPR 管理者の不在
この調査により、GDPR に向けた準備不足に加え、企業における GDPR の順守とコンプライアンスの責任者が明確に確立されていないことが明らかになりました。GDPR の責任者について、アンケート回答者の約 3 分の 1 にあたる 32% が CIO (最高情報責任者) を挙げた一方で、21% が CISO (最高情報セキュリティ責任者)、14% が CEO (最高経営責任者)、10% が CDO (最高データ責任者) と回答しました。こうした GDPR プロセス実施の責任者は、データが適切に処理されなかった場合のさまざまなリスクに直面しています。31% の回答者が不適切なデータポリシーが企業の評判失墜につながることを恐れ、約 40% が社内で重大なコンプライアンス違反が発生することを危惧しています。
データに関する懸念事項
データが分散化し、把握困難になる事態は、企業が最も頭を悩ませている問題の 1 つで、GDPR 規制への準拠をさらに困難にします。回答者の約 35% が、この問題を最大の懸念として挙げています。特に、企業の管理下にないクラウドベースのファイルストレージや個人向けファイル共有サービスの利用が増えているため、将来のコンプライアンスに対する懸念が膨らんでいます。回答者の 4 分の 1 が、クラウドベースのファイル保管共有サービスを、現状の企業ポリシーに反しながらも使用していることを認めています。その他 25% は未承認のオフサイトファイルストレージサービスを利用していると答えており、IT 部門による承認済みツールでの管理は困難を極めていることが伺えます。
保存の課題に加え、あらゆるセキュリティ規制コンプライアンスで対処すべきリスク要因についても声が上がりました。52% の回答者がデータ損失の脅威を危惧しています。また、48% の回答者がサイト間やシステム間でのデータ転送中のデータ損失を特に懸念しています。回答者の 10 人に 4 人が、従業員によるデータ誤用やコンプライアンス違反に不安を感じていることも明らかになりました。
忘れられる権利(消去権)
GDPR では、関連性や必要性のなくなったデータを削除するよう個人から正当な要求があった場合、企業は調査後それに従う必要があります。ところが、データの細分化と非構造化が進んだ結果、企業がこうした要求に応えることは不可能に近い状況です。企業は、保有する IT システム外に存在するダークデータやダーク情報を把握しきれないために、コンプライアンスが複雑化し、金銭面、法律面で甚大なリスクを背負っています。これらの GDPR コンプライアンス違反に対しては莫大な罰金が科せられ、その額は最大 2,000 万ユーロ (日本円で約25億円) または企業のグローバル収益の最大 4% のうちのより高額な方の金額となります。
「GDPR はこの時代、データ保護にとって最大の変化で、2017 年、データのプライバシー、管理、規制についての議論を左右する世界的に差し迫った問題になります」とベリタスのエグゼクティブバイスプレジデント兼 CPO (最高製品責任者) であるマイク・パルマー (Mike Palmer) は述べています。「規制当局による罰金、さらには企業のブランドや評判の失墜を回避するために、グローバル企業は今すぐ行動を開始して、データの保存場所と保護方法を確認する必要があります。」
ベリタスは、クラウドやオンプレミスにあるデータの保管状況を管理して確認したり、データの所有者を特定した上で、法律上保持してはならないデータを削除したり、企業がデータポリシーを策定する上でのコンサルティング等のサービスを提供することで、世界中の企業のリスク軽減を支援しています。詳しくは www.veritas.com/gdpr をご覧ください。
※「グローバルデータバーグレポート」は、調査会社 Vanson Bourne 社がベリタスによる委託の下、企業でのデータの保存方法と管理方法を調査し、データが爆発的に増加している現状とその背景を明らかにするために実施したものです。
以上
Veritas Technologies LLC について
https://www.veritas.com/ja/jp/
Veritas Technologies LLCは、世界最大規模の非常に複雑な異種混在環境をサポートするために設計されたソリューション群を通じて、所有する情報を有効活用する力をお客様に提供します。ベリタス製品は、現在 Fortune 500 企業の 86% にご利用いただいており、データ可用性の向上とインサイトの提供によってお客様の競合優位性を高めています。ベリタステクノロジーズ合同会社は、ベリタスグループの日本法人です。
*Veritas、Veritasロゴ は、Veritas Technologies LLC または関連会社の米国およびその他の国における商標または登録商標です。
*その他製品名等はそれぞれ各社の登録商標または商標です。
将来に関する記述: 製品の今後の予定についての将来に関する記述は予備的なものであり、未来のリリース予定日はすべて暫定的で、変更の可能性があります。今後の製品のリリースや予定されている機能修正についてはベリタスが継続的な評価を行なっており、実装されるかどうかは確定していません。ベリタスが確言したと考えるべきではなく、購入決定の理由とすべきではありません。