欧州連合(EU)の一般データ保護規則(GDPR)がついに現実のものとなった。何年にもわたる計画と準備を経て、5月25日に施行を迎えたのだ。その影響はEUはもとより、その他の地域の個人や企業にも及ぶことになる。
GDPRへの準拠に向けた組織の取り組みは、(理屈の上では)しばらく前から組織内で進められていたが、その影響がより明らかになったのは、同規則の施行にともなって適用される新たなプライバシーポリシーの詳細が記されるとともに、顧客データの使用について継続的な同意を求める電子メールが顧客のもとに送信され始めるようになったここ2~3週間のことだ。
GDPRの主眼は、われわれが現在住んでいる世界の実情を反映し、欧州における個人のデータやプライバシー、同意に関する法律や義務を、インターネット時代に合致したものにするというところにある。
組織はGDPRに準拠するとともに、データの漏えいが発生した際には、顧客(そして規制当局)にデータのアクセスや喪失が発生したという事実を72時間以内に報告しなければならない。そして、個人データの誤用や悪用、喪失、その他の誤った取り扱いがあった結果、同規則を順守していなかったと判断された組織には、制裁金の支払いが命じられる可能性もある。
しかし、GDPRの施行が迫っていると以前から分かっていたにもかかわらず、その準備が万全とは言えない組織もある。
法律事務所Kemp Littleの商用テクノロジ担当パートナーであるEmma Wright氏は米ZDNetに対して「やるべき作業の多さを皆が理解しているかどうかは疑問だ。準拠に向けた姿勢は見受けられるが、作業の規模や、その意味するところのほか、組織が無理なく適用できるようなプライバシー関連の優れたプラクティスとはどういったものかが認識されていない」と語った。
GDPRの施行に向けた準備は大企業にとっても困難だが、中小企業にとってはさらに難しい問題をはらんでいるため、GDPRのなかでも準拠が最も重要だと考えられる条項を選び出して、それらのみに注力せざるを得なくなっている。
