投資効率の良いGDPR対応には「包括的な情報ガバナンスの実践」が最適と強調

日本企業の63％「GDPR施行に間に合わない」ベリタス世界調査

2017年04月28日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　ベリタステクノロジーズは4月27日、EU一般データ保護規制（GDPR）に関する企業側における対応やその中での課題、懸念点などを調査した「GDPRレポート2017」を発表した。GDPRの施行は1年後に迫っているが、完全な対応の難しさと、規制違反に対し予想される事業への深刻な影響から「世界の86％（日本は72％）の企業がGDPRへの対応に不安を抱いている」という。

　同日の発表会では、米ベリタスでAPACJ地域の企業に対する情報ガバナンスのコンサルティング責任者を務めるクリス・パーク氏が、世界の企業がGDPR対応に苦慮している現状や課題、ベリタスが提供できるソリューションやサービスを説明した。

米ベリタステクノロジーズグローバル情報ガバナンスプラクティスリード兼アジア・パシフィック日本地域アドバイザリー・コンサルティング責任者のクリス・パーク（Chris Park）氏

86％の企業が「GDPRを順守できず、ビジネスに深刻な影響が及ぶ」ことを懸念

　GDPRレポート2017は、今年2～3月に8カ国（アメリカ、イギリス、フランス、ドイツ、シンガポール、韓国、オーストラリア、日本）の企業を対象に実施した調査に基づく報告書。調査対象は、EU域内で何らかのビジネスを展開する企業における、IT戦略の意思決定権を持つ幹部（ITDM）900名で、うち日本の回答者は100名。

　GDPRは、来年2018年5月25日にEUで施行されるプライバシー保護規制。EU加盟国すべて（EU離脱予定の英国も含む）が対象だが、重大な違反をした企業への制裁金（罰金）が「2000万ユーロ（約24億円）または全売上高の4％のいずれか高いほう」と巨額であること、さらにEU域内にある企業だけでなく、EU域内で個人を対象としたビジネス（商品やサービスの販売）や購買行動モニタリングなどを行うすべての企業が規制対象になることなどから、世界中で多くの企業が対応に追われている。

GDPRの施行は、EU域内の企業だけでなくEU域内でビジネスを行う全世界の企業に大きな影響を与える

　まず、調査実施時点で「自分の組織（企業）はすでにGDPR対応の準備ができている」と回答した企業の割合は、グローバル平均で31％。ただし、国によって対応完了状況は大きく異なり、日本は19％、シンガポールは18％と低い。

　さらに、1年後（2018年5月）の「施行日までに対応することは難しい」と考える企業の割合は、グローバル平均で47％。特にその割合が高い国として、日本（63％）、韓国（61％）やシンガポール（56％）が挙げられている。

　対応を終えている、あるいは終える予定である企業でも、GDPRの規制と厳しい罰則に対する懸念は尽きないようだ。グローバル平均で86％（日本は72％）の企業が、「GDPRを順守できず、ビジネスに深刻な影響が及ぶ可能性」を懸念しているという。

86％の企業が、GDPRの規制違反により自社ビジネスに深刻な影響が及ぶことを懸念している

　ただし「懸念」する内容が、グローバル平均と日本では少し異なっていることをパーク氏は指摘した。グローバル平均では、巨額の制裁金による「人員削減」（21％）や「廃業」（18％）の恐れを指摘する声が多いが、日本ではSNSやメディアの評判により「顧客を失う」（21％）懸念がトップとなっている。

GDPR違反で懸念する内容は、グローバル平均と日本のみの結果ではやや異なった

「GDPR対応には5つのステップが必要」

　では、企業は具体的にどのような対応を行っているのか。

　パーク氏によると、65％の回答企業が、サードパーティ（ITベンダー、コンサルファームなど）によるサポートを受けながらGDPR対応ソリューションの導入をスタートしている、もしくはそのための予算予算を確保しているという。「GDPR順守のための予算」として回答企業が見込んでいる額は、グローバル平均で143万ドル（約1億6000万円）だった。

GDPR対策費用、回答企業の平均額はおよそ1億6000万円

　一方で、「テクノロジーの欠如」がGDPR対応を妨げているという問題も指摘している。「データを価値に基づいて保存／削除するための価値判断のメカニズムが不完全」とした企業は42％、また「正確なデータ特定と場所の確認についての懸念」があるとした企業は39％、GDPRのコンプライアンス要件を満たすためには、自社が保有する多様かつ膨大なデータの中から、特定個人のデータを迅速に識別／特定（ディスカバリ）できること、また不要になったパーソナルデータは速やかに破棄することが求められる。

　パーク氏は、GDPRでは「何をすべきか」は定められているが「どうやって実現するか」は定められておらず、包括的な情報ガバナンスのためのツール群を導入することで、コスト効率の良いGDPR対応が実現すると同時に、データ管理やデータ保護の向上、冗長／無駄なデータの削減という副次的メリットも得られると指摘した。

　「GDPR対応には次の5つのステップが必須だと考える。最初のステップは、パーソナルデータの場所を『特定』し、可視化すること。これで組織内のデータの流れが理解できる。次に、パーソナルデータを『検索』できるようにする。これで特定個人からデータ削除の要求があれば、規定の時間内に対応できるようになる。そして、データの分類、保持期限の柔軟な設定、不要になったデータの速やかな削除などを通じて、パーソナルデータを『最小化』する。一方で、重要なパーソナルデータは紛失や毀損、漏洩から『保護』することも求められる。そして、GDPR要件を満たしているかどうかを継続的に『監視』していかなければならない」（パーク氏）

パーク氏が挙げた、GDPR対応に必須となる「5つのステップ」

　もう一点、パーク氏は、GDPR対応にはテクノロジーだけにとどまらない「統合的なアプローチ」も必要だと語った。たとえば、データ保護やガバナンスに関する責任者を決める、データ取り扱いに関する社内トレーニングを行うといった「組織」、リスクマネジメントや監査の実施、情報ガバナンスアーキテクチャの構築といった「戦略」、プライバシーポリシーやガバナンスポリシーなどの「ポリシー／プロセス」、データ漏洩防止やインパクトのアセスメントを行う「データ漏洩防御」といった取り組みも、また必要となる。

　「たとえば（テクノロジーによって）どのデータを破棄すべきか、ということが『判断』できたとしても、それを『実行』に移せるかどうかはまた別問題だ。（そのデータのオーナーである）事業部門からの同意や支持が得られなければならない。そうした意味で、企業幹部からの支持や、社内での情報ガバナンスに対する理解も欠かせないと考える」（パーク氏）