IT Governanceによると、欧州連合(EU)の一般データ保護規則(GDPR)が施行されて6カ月が過ぎたものの、EUを拠点とし、同規則に完全に準拠している組織は29%にすぎず、その他の組織は重い罰則を科される可能性があるという。
GDPRは、EU圏居住者の個人情報やプライバシーの保護を義務付ける規制で、2018年5月25日に全面施行された。違反に対し、当該企業は全売上高の4%以下もしくは2000万ユーロ(約26億円)以下の制裁金がEU当局から科せられる。
EU圏の業界における調査対象210社のうちの60%近くは、データ主体によるアクセスリクエスト(DSAR:Data Subject Access Request)に関する変更を認識していたが、自社のプロセスを変更に対応させる計画があると答えたのは29%にとどまった。DSARが適切に処理されず、データ主体者が苦情を申し立てた場合、罰金を科される可能性があるという。
GDPRへの準拠の一環として、組織はプライバシー関連のリスクを評価するために、保持しているデータと情報の流れを対応付ける必要がある。回答者の約75%は、何らかのかたちでデータの流れに関する監査を実施したとしている。
提供:Image: iStockphoto/SBphotos
報告書によると、セキュリティの観点からは、組織の61%が、データセキュリティと不正管理に対応するための基本的なコントロールを実装したと回答している。またGDPRに準拠していると答えた企業は回答者のわずか29%だったが、50%以上が情報漏えいが発覚した場合に監督機関と個人に通知するプロセスを準備していると回答している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
