ここから本文です

万全なのはたった2%、世界中の企業が、自社のGDPR対策を「勘違い」──Veritas調査

7/28(金) 8:10配信

@IT

 Veritas Technologies(以下、Veritas)は2017年7月26日、2018年5月25日の施行を控える「GDPR(General Data Protection Regulation:EU一般データ保護規則)への対応状況に関するグローバル調査のレポート「2017 Veritas GDPRレポート 第2章」を公開した。

データ侵害を72時間以外に特定して報告するのは大変かどうかの結果(出典:Veritas「2017 Veritas GDPRレポート 第2章」)

 本レポートは、企業におけるGDPRの全体的な対策状況をまとめた第1章から、「GDPRへの対応が済んでいる」と回答した企業の実態を掘り下げて分析したもの。この調査結果から、「多くの企業は、GDPRに対応済みという認識を“勘違い”している実態」が明らかになったという。

 GDPRは、EU(欧州連合)加盟国においてプライバシーに関する規制と違反時の制裁を厳しく取り決めた規則。事業者が個人情報を含むデータの取り扱いを誤り、それに対して苦情を1件でも受けると、重い罰金が科される可能性がある。適用範囲は、EU圏の市民に商品やサービスを提供する、またはその市民の行動を監視する、EU域内および域外の全ての事業者。日本企業も多くは例外ではない。

 本レポートによると、「既にGDPRの対応を済ませ、主要な法的要件も満たしている」と回答した企業は全体の31%を占めた。しかしその状況を掘り下げると、GDPRの要件を満たす対策が万全だった企業は、そのうちわずか2%にすぎなかった。つまり、「多くの企業は、規制への対応を誤解している」とVeritasは警鐘を鳴らす。

 例えば「対策済み」と回答した企業の48%が、個人データの流出を検知するために必要とされる「可視性」を十分に備えていなかった。また、同じく61%の企業は「個人データの侵害を、72時間以内に特定して、報告する」のは大変だと回答した。GDPRでは侵害事実の報告を義務化しており、発覚から72時間以内に監督機関へ報告できなかった場合には、例えば、年間売上高の4%か2000万ユーロ(約26億円)といった重い罰金が科される可能性がある。「大変」ではなく、「できる」体制を築いて対策しておかなければならない。

 その他、「GDPR対策は万全」と回答した企業の50%が、「データアクセス権限の管理は万全とはいえない」と回答した。例えば、データへのアクセス権限のない退職した元社員の資格情報は、内部不正を防ぐために、速やかにシステムから削除し、企業データにアクセスできないようにしなければならない。しかしこの結果から、GDPR対策は万全と回答した企業であっても、データアクセス管理を100%制御できてはおらず、穴が存在することが分かる。

 さらに、「クラウド環境にあるデータ管理の責任」についても多くの誤解が確認された。

 まず「利用するクラウド事業者がGDPRに対応できていること」を確認する責任は、データの管理者である「ユーザー(企業)」が負う。しかし「対策済み」と回答した企業の49%は、クラウド上のデータについては、クラウド事業者が単独で責任を負うと考えていた。この誤解は、GDPRの施行後に深刻な影響を及ぼす恐れがあると警告する。

 Veritasでエグゼクティブバイスプレジデント兼CPO(最高製品責任者)を務めるマイク・パルマー氏は今回の調査結果について、「GDPRは、多国籍企業に対してデータ管理に真剣に取り組むことを具体的に要求している。ところが今回の調査を分析すると、企業は、GDPRの義務規定に対応するために“何が必要なのか”を誤解している状況が見られた。このような誤解は早急に正していかなければ、施行後に深刻な影響を及ぼす恐れがある。まずGDPRに対応するには、社内(およびクラウド)にどんなデータがあるのかを全て把握する必要がある。それに加えて、データアクセスポリシーを正しく適用するために、データをどのように処理し、どう分類すべきかについても理解しなければならない。これらはGDPRへの対応に限らず、コンプライアンスの基本といえるが、確実な対応が必要だ。“企業を倒産に追い込みかねない誤解”については深く指導していく必要がある」と述べた。

最終更新:7/28(金) 8:10
@IT