欧州で一般データ保護規則規則(GDPR)が施行されてから1年半近くが経過したが、制裁金を科される可能性があるにも関わらず、この規制を完全に遵守している組織は3分の1に満たないことが明らかになった。
コンサルティング企業Capgeminiは、1000人以上のコンプライアンス、プライバシー、データ保護の担当者を対象に調査を実施した。その結果、以前は回答者の4分の3以上が、2018年5月のGDPR施行時までにこの規制に対応できると自信を示していたにもかかわらず、実際には多くの企業が今もこの規制への対応に苦慮していることが分かった。
規制当局が多額の制裁金を科すことをいとわない意思を示しているにも関わらず、GDPRを完全に遵守できていると考える回答者はわずか28%にすぎなかった。
英国の個人情報保護監督機関(ICO)はすでに、2018年9月にサイバー攻撃によって約50万人の顧客の個人情報が盗まれたことを明らかにしたBritish Airwaysに対して、「セキュリティ保護対策が不十分」だったとして、過去最高額となる1億8300万ポンド(約250億円)の制裁金を科している。
Capgeminiでサイバーセキュリティ関連事業の責任者を務めるChris Cooper氏は、米ZDNetの取材に対して、「多くの企業では、保有している適用対象の情報を特定する最初のプロジェクトをスタートして初めて、GDPRがもたらす課題の本当の大きさを理解したはずだ。その結果、法制度が施行された時点でGDPRへの対応を終えていたのは、非常に重点的に取り組んでいた企業だけだった」と語った。
現在もプライバシー法制に対応できていない企業は、その妨げになっている要因をいくつも挙げている。その中でももっとも大きかった要因はレガシーなITシステムで、調査対象の38%が、現在のIT環境はGDPRの複雑さに対応するよう調整されていないと述べている。
また回答者の36%は、GDPRで求められる条件は複雑すぎるため、導入には多くの努力を必要とすると考えており、3分の1は、GDPRに準拠するための経済的コストが高すぎて対応しきれないと述べている。
GDPRに準拠していない状態が続けば、規制当局から制裁金を科される金銭的なリスクに加え、データ漏えいの被害に遭い、財務と評判にダメージを負うリスクも抱え続けることになるばかりでなく、GDPR対策を進めることで得られるメリットにも背を向けることになる。