組織は、少なくとも公明正大にデータを取り扱っている限り、おびえる必要はない。実際のところ、組織は顧客とのやり取りや業務を遂行していく新たな方法としてGDPRに取り組み、準拠していけるはずだ。
Wright氏は「これは顧客に対して情報を伝え、透明性を高めるとともに、ある意味においてより有意義なコミュニケーションチャネルを構築する機会になる」と述べた。
「一部の企業は、これを自社ブランドにとっての真の機会だと捉えている。データに関する信頼性と完全性によって自らのブランドが裏打ちされ、ブランドのさらなる透明性と、それが持つ信用力も生み出されていく。これが本当の機会となる」(Wright氏)
とは言うものの、GDPRの持つ本質と、セキュリティインシデント報告の義務化によって、セキュリティ侵害の公表自体は増えていくだろう。公表しなかった組織は高額の制裁金を科され、評判に傷をつけるリスクを負うためだ。
Room氏も「法律の適用範囲が広がったがゆえに、セキュリティ侵害の報告は大幅に増加することになるだろう」と述べた。
一部の組織は過去において、インシデントをカーペットの下に掃き込んで隠そうとしていたかもしれないが、今や「汚れたカーペットは洗濯し、公衆の面前で乾かさなくてはならない。しかも72時間以内にだ」とTeng氏は述べた。
GDPRを順守していない場合、最終的に制裁金が科される。しかし、ある組織が5月25日にセキュリティ侵害を報告し、それがGDPRを順守していなかったが故に発生したという最終判断が下されるとしても、そのプロセス全体は数カ月、あるいは1年近くに及ぶ可能性があるため、すぐに制裁金につながるというわけではない。
Room氏は「法的な観点から見た正当な執行手続きにより、GDPRの制裁金が科されるには何カ月もの期間がかかることになるだろう。こういった期間を短縮し、すぐさま結論を出すというわけにはいかない。そんなことをすれば正当な執行手続きが行えないため、制裁金に対する異議申し立てが可能になるだろう。最速のメカニズムであっても、一通りやり終えるには数カ月をかける必要がある」と述べた。
とは言うものの、制裁金やペナルティが規定されている以上、組織はセキュリティ侵害の対応がコンプライアンス違反だと判断された場合、制裁金につながるということを肝に銘じておくべきだ。そして、規制当局もそういった判断を下せるよう準備を整えておくべきだ。
Wright氏は「これはある種の警策だ。欧州委員会(EC)は、制裁金がほとんどのデータ漏えいに適用できる点と、データ保護機関は実際に適用する準備を整えておくべきだという点を強調した」と述べた。