GDPRの制裁金の額が、違反した組織の全世界における年間売上高の4%にも及ぶという点が大きく取り沙汰されるようになっている。Teng氏はそれを「破滅のシナリオ」だと表現しているが、組織が完全に、そしてまったく無関心であったと判断された場合には現実のものとなる可能性がある。
Teng氏は「すべての組織があらゆる分野でGDPRを順守していると断言できるわけではないというのが現実だろうが、セキュリティ侵害が発生し、規制当局が介入した場合、最小限度の統制が適用されていたかどうかを監査することになるだろう。とは言うものの、4%は大きな額であり、このような制裁金が適用されるのは何の用意もしていなかった組織に限られるだろう」と述べた。
一部の組織にとって、これは白紙の状態からの出直しを意味している。というのも、データをブローカーや集積サービスから購入している多くの組織は、同意が得られていたかどうかを確信できないためだ。そうしたデータの削除は痛手かもしれないが、長期的に見た場合、コンプライアンス準拠を達成できていないと判断されないようにするという点で価値はあるはずだ。
Teng氏は、「これはリスクに基づくアプローチに関する話だ。大手企業のなかには、同意を得ていないデータを削除し、白紙の状態から出直すのは検討する価値もない選択肢だという判断がマネジメントによってなされているところもある」と述べた。
しかし制裁金が絡んでくると、規制当局は後手に回るのではなく、先手を取る必要があると判断するかもしれない。というのも、制裁金があると告知されている以上、適切な法運用がなされていなければ法律自体の弱体化を招くおそれもあるためだ。
Room氏は、「規制システム自体が機能し始めなければ、人々はこういった規制がすべて大げさなものだと考え、投資することをやめ、気にかけないようになる。その結果、データ保護が弱体化する」と述べるとともに、「データ保護機関がGDPRの運用をないがしろにしているという印象を与えた場合、人々もGDPRをその程度のものだと見なすだろう」と続けた。
詰まるところ、5月25日のGDPR施行以降は、個人や組織、規制当局という関係者すべてが手探りで取り組んでいくことになるだろう。
Wright氏は「5月25日がその日だということは皆が認識している」と述べるとともに、「というのも、5月25日という日を境にして巨額の制裁金が科されるようになるという大きな変化があるためだ」と続けた。
要するに、GDPRは運用が始まっただけであり、終わったわけではない。これは、組織がデータのセキュリティとともに、問題が起こった時の結果を定期的に再評価しなければならない、データプライバシーの新たな時代の幕開けなのだ。GDPRの旅は始まったばかりだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
