欧州連合(EU)の「一般データ保護規則(GDPR)」が5月25日に施行されるが、多くの企業がGDPRに準拠できていないという。これは、AvePointとCentre for Information Policy Leadership(CIPL)による調査の結果だ。
この調査は多国籍企業235社を対象としたもの。そのうちの60%が「データの識別とタグ付けについて対策していない」と回答した。自社が保持する機密情報と、それらがどのように使われているかなどについて把握していないことになるという。
GDPRは、欧州に拠点を持つ企業のデータの保護について正式な規制を設けるものだ。EUに顧客を持つ企業も対象となる。準拠していない企業は、最大で年間売上高の4%または2000万ユーロ(約26億円)の罰金を課されることになる。
「この調査結果は、企業が準拠のための取り組みという点で適切な状態ではないことを示している。GDPRは個人レベルまで変化を実施するために上からの管理監督が必要であるということを再確認するものとなる」とAvePointの最高リスク・プライバシー・情報セキュリティ責任者、Dana Simberkoff氏は記している。「2018年5月25日の期日が迫っている。この調査は、大規模な改善が必要な分野にスポットを当てるものとなった。まずは、GDPR対策において自社がどの段階にあるのかを把握することが大切だ」とSimberkoff氏は続けている。
企業の3分の1以上が、各個人のリスクの識別と分類のための措置やフレームワークを持っていないこともわかった。別の3分の1が、そのためのフレームワークを開発中という。
グローバル企業は、GDPR対応の取り組みにあたって追加の人員をつけているようだ。調査では、32%の企業が「GDPR関連プロジェクトに当てる人員を増員している」と回答、これは1年前の4分の1以下からの増加となる。
GDPR準拠のための取り組みにおいて特に大きな分野となるのが、包括的なプライバシーコンプライアンスプログラムの構築と維持だという。半分以上の企業が「GDPR対応のための予算を増やしている」と回答、増加の幅は、数十万ドルのところもあれば、5000万ドルと回答する企業もあったようだ。GDPR関連の支出で最優先されるのは、技術ツールとソフトウェアだという。
提供:iStockphoto/mixmagic
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。