EYでリスクアドバイス担当シニアマネージャーを務めるLuther Teng氏は米ZDNetに対し、「企業は全作業の完了に向けて現在でも苦心している。彼らは戦略的な姿勢で優先順位に目を向けており、例えば対外的なポリシーの展開が完了しているか、そしてデータ漏えい関連の管理手続きが整備されているかを確認している」と述べるとともに、「それでも、準拠のための準備に奔走している」と述べた。
しかし、GDPRへの準備が整ったと考えている企業であっても、あぐらをかいてはいられない。プラクティスやテクノロジが変化するなかで、業務運用が法から逸脱しないようにしておく必要がある。
PwCのGDPRおよびデータ保護担当リードパートナーであるStewart Room氏は米ZDNetに対し、「人々は企業がその準備を継続するよう求めるだろう。このため企業は準備と向上に励み続け、(新たな法規制に)いつでも対応できるようにしておくことが極めて理に適っている」と述べた。
「というのも、5月25日がゴールだと思っているのであれば、それは間違いであるためだ。GDPRは、継続的な取り組みと改善が必要となる恒久法なのだ」(Room氏)
GDPRへの対処をリアルタイムで実施していこうとする企業は、慎重になりすぎるあまり、実際には報告する必要のないセキュリティ侵害やインシデントの詳細を、英情報コミッショナーオフィス(ICO)などの規制当局に報告する可能性さえある。
「透明性にまつわる新たな環境が法律として定められた際には、法への過度な準拠という傾向が出てくる」(Room氏)
企業は規制システムの本質やその意味するところについて神経質になるあまり、リスク回避を第一義に考える結果、業務環境における法的な観点への理解が進んだ1年後には報告しないようなものごとでも報告してしまう可能性がある。
Room氏は「セキュリティ侵害報告(のコスト)は、調査や制裁金、損害賠償請求の増加によって天井知らずとなりかねない」と付け加えた。
GDPRの動向をうかがっているのは組織だけではなく、データに関する新たな権利を確実に行使したいと考えている個人もいる。
Teng氏は、「将来的に、個人のデータがどのように処理され、使われるのかについて、より大きな統制が得られるようになるため、彼らはそのようなデータを使って行われることすべてについて知りたいと思うようになるかもしれない」と述べるとともに、「施行されると、企業のコンプライアンスがどれだけ足りていないのかという点をICOに訴えるために、調査を実施し、システムをテストしようとする人々も出てくるだろう」と続けた。
