欧州連合(EU)での「一般データ保護規則」(GDPR)の施行があと4カ月に迫った。しかし、GDPRの施行を意識している、あるいはそれが情報セキュリティの取り扱いに与える影響を見据えている企業は半数に満たないという。
GDPRは、データ保護法を簡素化するとともに、EU加盟国のすべての人々に対して自らの個人データに関するさらなる統制権を与えるための規則だ。その規則がまもなく(5月25日から)施行されるにもかかわらず、企業の意識は低いままとなっている。この状況を危惧した英国政府は、企業の準備不足に対する警告を発した。
GDPRが2018年5月25日に施行された後、個人データを誤用したり、悪用したり、喪失したり、取り扱いを誤ったりした場合、企業は売上高の最大4%という高額の罰金が科される可能性もある。また、ハッキングの被害に遭った企業がその事実を顧客から隠そうとした場合にも罰金が科される。
しかし、GDPRに準拠しないことで発生するリスクがあるにもかかわらず、英政府の調査では多くの企業がこの規則に準備できていない、さらには自社のセキュリティ戦略にどのように影響が及ぶのかについてすら気付いていないことが浮き彫りにされている。
GDPRについて認識しているのは、建設業界では4社に1社のみであり、製造業界の認知度も低いものとなっている。認知度が最も高かったのは金融業界と保険業界だという。
同レポートによると全体で見た場合、GDPRに準拠するためにサイバーセキュリティのポリシーを変更したという企業は半数にも満たない(慈善団体ではその割合は3分の1)という。こういった準備作業には、サイバーセキュリティの手続きの作成あるいは改善や、担当者の雇用、セキュリティソフトウェアのアップデートへの集中的な取り組みが含まれる。
とは言うものの英国政府は、準備不足によって罰金が科されるリスクを依然として抱えている企業が数多くあると警告している。
英国のデジタル・文化・メディア・スポーツ相であるMatt Hancock氏は「これらの結果から、多くの企業が依然として、保有している個人データの安全性を確保するために、そして『Data Protection Bill』(データ保護法案)に対する準備を整えるうえでなすべきことを抱えている事実が見て取れる」と述べている。
