世界中の企業が、自社のGDPR（EU一般データ保護規則）対策を「勘違い」している──Veritas調査：「対策済み」と回答した企業のうち、万全だったのはたった2％

Veritasが、GDPRの対応状況に関するグローバル調査レポートを公開。「多くの企業は、GDPRに対応済みという認識を“勘違い”している」とし、その勘違いはGDPRの施行後、深刻な影響を及ぼす恐れがあると警鐘を鳴らした。

[＠IT]

「2017 Veritas GDPRレポート 第2章」簡略版

　Veritas Technologies（以下、Veritas）は2017年7月26日、2018年5月25日の施行を控える「GDPR（General Data Protection Regulation：EU一般データ保護規則）への対応状況に関するグローバル調査のレポート「2017 Veritas GDPRレポート 第2章」を公開した。

　本レポートは、企業におけるGDPRの全体的な対策状況をまとめた第1章から、「GDPRへの対応が済んでいる」と回答した企業の実態を掘り下げて分析したもの。この調査結果から、「多くの企業は、GDPRに対応済みという認識を“勘違い”している実態」が明らかになったという。

　GDPRは、EU（欧州連合）加盟国においてプライバシーに関する規制と違反時の制裁を厳しく取り決めた規則。事業者が個人情報を含むデータの取り扱いを誤り、それに対して苦情を1件でも受けると、重い罰金が科される可能性がある。適用範囲は、EU圏の市民に商品やサービスを提供する、またはその市民の行動を監視する、EU域内および域外の全ての事業者。日本企業も多くは例外ではない。

　本レポートによると、「既にGDPRの対応を済ませ、主要な法的要件も満たしている」と回答した企業は全体の31％を占めた。しかしその状況を掘り下げると、GDPRの要件を満たす対策が万全だった企業は、そのうちわずか2％にすぎなかった。つまり、「多くの企業は、規制への対応を誤解している」とVeritasは警鐘を鳴らす。

　例えば「対策済み」と回答した企業の48％が、個人データの流出を検知するために必要とされる「可視性」を十分に備えていなかった。また、同じく61％の企業は「個人データの侵害を、72時間以内に特定して、報告する」のは大変だと回答した。GDPRでは侵害事実の報告を義務化しており、発覚から72時間以内に監督機関へ報告できなかった場合には、例えば、年間売上高の4％か2000万ユーロ（約26億円）といった重い罰金が科される可能性がある。「大変」ではなく、「できる」体制を築いて対策しておかなければならない。

データ侵害を72時間以外に特定して報告するのは大変か（出典：Veritas「2017 Veritas GDPRレポート 第2章」）

　その他、「GDPR対策は万全」と回答した企業の50％が、「データアクセス権限の管理は万全とはいえない」と回答した。例えば、データへのアクセス権限のない退職した元社員の資格情報は、内部不正を防ぐために、速やかにシステムから削除し、企業データにアクセスできないようにしなければならない。しかしこの結果から、GDPR対策は万全と回答した企業であっても、データアクセス管理を100％制御できてはおらず、穴が存在することが分かる。

　さらに、「クラウド環境にあるデータ管理の責任」についても多くの誤解が確認された。

　まず「利用するクラウド事業者がGDPRに対応できていること」を確認する責任は、データの管理者である「ユーザー（企業）」が負う。しかし「対策済み」と回答した企業の49％は、クラウド上のデータについては、クラウド事業者が単独で責任を負うと考えていた。この誤解は、GDPRの施行後に深刻な影響を及ぼす恐れがあると警告する。

　Veritasでエグゼクティブバイスプレジデント兼CPO（最高製品責任者）を務めるマイク・パルマー氏は今回の調査結果について、「GDPRは、多国籍企業に対してデータ管理に真剣に取り組むことを具体的に要求している。ところが今回の調査を分析すると、企業は、GDPRの義務規定に対応するために“何が必要なのか”を誤解している状況が見られた。このような誤解は早急に正していかなければ、施行後に深刻な影響を及ぼす恐れがある。まずGDPRに対応するには、社内（およびクラウド）にどんなデータがあるのかを全て把握する必要がある。それに加えて、データアクセスポリシーを正しく適用するために、データをどのように処理し、どう分類すべきかについても理解しなければならない。これらはGDPRへの対応に限らず、コンプライアンスの基本といえるが、確実な対応が必要だ。“企業を倒産に追い込みかねない誤解”については深く指導していく必要がある」と述べた。