欧州連合(EU)の一般データ保護規則(GDPR)の話題を出せば、企業の裏方の顔はこわばる。これは多くの企業が、GDPRの施行日に間に合わせるために、さまざまな対応を大急ぎで進めることを強いられたからだ。
新たなGDPRのルールへの対応を済ませるべき期日はすでに過ぎたが、現在でも、サービスに再登録して事業者から連絡を取ることに同意してくれるよう求めるメールが飛び交ったり、一部のサービスが(少なくとも一時的に)EU訪問時に利用できなくなるなどの混乱が起きている。おそらく、企業の対応が落ち着くまでには、しばらく時間がかかるはずだ。
この新たな枠組みは、すべてのEU加盟国に影響を及ぼすもので、企業に対して、ユーザーから収集して保管している情報に関する透明性を向上させること、データ漏えいが明らかになった場合には72時間以内に公表すること、情報を安全に管理することなどを求めている。
この法制度の中核は、データの収集や、ビジネス上の目的がないのに保管されている大量の情報、続発するデータ漏えいの脅威などの問題を取り巻くルールが曖昧になっている現状に、ある程度の秩序をもたらすことを目的としてデザインされている。
しかし多くの組織では、情報がどこにあり、どのように記録されており、そもそもどんな情報がどれだけの期間収集されていて、情報の保管に対するユーザーの同意は得られているのか、その情報は安全に保管されているかなどの状況も把握できておらず、GDPRへの対応に悪戦苦闘している。
このことが混乱を生んでおり、今後も当面はこの状況が続く可能性が高い。
最近公表されたIBMの調査によれば、企業の約80%は、GDPRを理由として、収集・保管する個人情報の量を減らしていると述べている。ただし、すべての企業がEUの設定した期日を守れたわけではない。
状況は混沌としているが、この難問の向こう側には光明も見えている。その光明とは、企業でデータを活用したイノベーションを進め、機械学習と人工知能(AI)の利用を推進することだ。
IBMの最高プライバシー責任者であり、欧州のデータ保護責任者(DPO)にも最近指名されたCristina Cabella氏は、米ZDNetのインタビューに対して、GDPRが難問であることは疑うべくもないが、一般論としては、顧客や企業にチャンスも提起していると述べている。