欧州連合(EU)の一般データ保護規則(GDPR)によって、欧州各地の組織に対してデータストレージとプライバシーの手順に関する大きな難題が投げかけられ、施行後数カ月たった今でも、自社がGDPRに準拠できていると考えている企業はたったの59%しかないのが現状だ。
データ流出事件は毎日のように起こっているため、信用情報の監視サービスは一般個人にとって利用する価値があるサービスになりつつあるように見受けられる。そして規制当局は、企業が格納している情報に対する的確な保護を怠っていると判断した場合、かつてないほどの厳しさで説明責任を追求しようとしている。
2019年に入ってGoogleは、ユーザーにとって理解しづらい同意プロセスを強いているとの理由で、フランスのデータ保護監視機関である「情報処理及び自由に関する国家委員会」(CNIL)から5000万ユーロ(約62億円)の制裁金支払いを命じられた。
ことGDPRに関して言えば、Googleが徹底的に調べ上げられる最後の企業だとは考えづらい。英国の「情報コミッショナー事務局」(ICO)は、GDPRの2018年5月25日の施行以来、データセキュリティやプライバシーに関する電話通報を毎週500件以上も受けているという。
Cisco Systemsは米国時間1月24日、企業に対するGDPRの影響を調査した2019年版の「Maximizing the value of your data privacy investments -- Data Privacy Benchmark Study」(データプライバシー投資の価値を最大化する--データプライバシーのベンチマーク調査)を公開した。
この調査は18カ国でさまざまな業種に従事する3200人以上のプロフェッショナルを対象としたものだ。そのなかでGDPRへの備えに関する設問に対して寄せられた回答は芳しいとは言えなかった。
全体で見ると、GDPRの適用対象だとした回答者は97%に及んでいる。しかしGDPRの規則「すべて、あるいはほとんど」に適合していると回答したのはわずか59%だった。とはいえ、1年以内にはさらに29%がこのレベルに到達するという。
Ciscoによると、ことデータ漏えいに関して言えば、この取り組みはしばしば価値に見合ったものになるという。GDPRに準拠したセキュリティ対策を実行に移している企業と、そうでない企業を比べた場合、前者の方がデータ漏えいの危険は少なくなり(74%と89%)、データ漏えいが発生した際に影響を受けるレコード件数も少なくなり(7万9000件と21万2000件)、システムのダウンタイムも概して短くなるという。
さらに、データ漏えい時の平均対処コストも低くなる。同調査では、2018年におけるデータ漏えいで50万ドル(約5500万円)を超える損失を被ったのは、GDPR準拠企業ではわずか37%であり、GDPR準拠までに1年以上かかるとしている企業では64%にのぼっている。
