施行から1年以上が経つGDPR、日本は未だ準備不足

2018年の5月に施行されたGDPR(EU一般データ保護規則)。簡単に言うと、EUで制定された個人情報の処理に関する規則です。

日本でもGDPRコンプライアンスのために、管理体制の構築に迫られてきました。

施行から1年以上経過しているものの、世界中の企業はこの規則の遵守に苦戦していると報じられています。

本記事では、分かりにくいルールであると言われているGDPRと、アメリカ、欧州、日本、中国を対象に行ったGDPRを取り巻く各国の企業に関する調査を紹介します。

GDPRはEUで制定された個人情報の扱いに関する規制

施行されて1年以上たつGDPR。意外と知られていないその概要を見ていきます。

EU一般データ保護規則(General Data Protection Regulation; GDPR)(規則 2016/679)とは、欧州議会・欧州理事会および欧州委員会が欧州連合 (EU) 内の全ての個人のためにデータ保護を強化し統合することを意図している規則である。欧州連合域外への個人情報の輸出も対象としている。

EU一般データ保護規則の第一の目的は、市民と居住者が自分の個人データをコントロールする権利を取り戻すこと、および、欧州連合域内の規則を統合することで、国際的なビジネスのための規制環境を簡潔にすることである。

引用:Wikipedia|EU一般データ保護規則

企業がもつ個人情報の取得と利用を規制するためのルールです。前身となるのは1995年に定められたデータ保護指令であり、この法令をEUすべての国に適用するためにGDPRは制定されました。

このGDPRによる日本への影響としては、IPアドレスやCookieなども個人情報に含まれこと、その取得には同意が必要であることが注目されました。

EUの規制が日本に影響する理由

EUで制定されたGDPRは、なぜ日本の企業にも影響を与えるのでしょうか。

EY新日本有限責任監査法人の発行する社外報「情報センサー」によるとGDPRの対象には以下も含まれると定められています。

GDPRの影響を受ける企業

  1. EUに子会社や支店、営業所などを有している企業
  2. 日本からEUに商品やサービスを提供している企業
  3. EUから個人データの処理について委託を受けている企業

GDPRに違反した際には、罰則が設けられており、多額の制裁金が課される場合があるので、日本企業も十分な遵守が必要となるのです。

日本の企業はGDPRの準備が整ったのか

GDPRの施行から1年以上が経過し、世界の企業はGDPR遵守に対する適切な対応ができているのでしょうか。

世界で展開するローファームMcDermott Will & Emeryが、外部機関に委託し実施した、世界の企業のGDPRに対する取り組みに関する調査「A GLOBAL VIEW OF GDPR PROGRESS」の結果を見ていきます。

この調査では、欧州、アメリカ、中国、日本の企業1263社を対象に、施行1年が経ちGDPR遵守への取り組みが進んでいるのか、企業の実態を調べています。

施行から1年間で、全世界の対象者の約半数は、GDPRで報告義務が定められているデータ漏洩を経験していると回答しています。

GDPR実態調査

日本企業にフォーカスしてみていくと、データ漏洩を防止し対応するための対策を講じているものの、そのために定期的なアセスメントは行われていないという結果が出ています。

GDPR遵守のために外部のサイバーセキュリティー企業と契約したと回答した企業の割合は、世界的にみると日本が47%と最も高い数字でした。

一方で、委託した第三者期間の関係を、評価・調整したのは、わずか30%にとどまっています。

GDPRに完全に順守していると確信すると回答した日本企業の割合も、32%と低い数字となりました。

日本企業はGDPRを意識して対策を進めてはいるものの、完全に準備が整っている状態だとは言えないようです。

こういった世界的な取り組みの現状を受け、調査を実施したPonemon Instituteの会長は以下のコメントをしています。

Ponemon Institute会長、Larry Ponemon氏のコメント

この規則はまだ始まったばかりです。

それぞれの企業が外部のサイバーセキュリティサービスや法的なコンサルティングと連携し、この先も続く問題であることを認識することがますます重要になってきます。

サイバーセキュリティや関連業界は今後雇用拡大が見込まれる

今後さらにAIやIotデバイスの導入が進むと、企業が問題を想定した組織の整備は、ますます重要な意味も持つことになるでしょう。

先日、転職サイト「リクナビ」が収集したデータを本人に無断で販売した問題が話題になりました。

関連記事:収集したデータを本人に無断で第三者に販売した問題の深さ|キャリアニュース

また、情報保護に関するサイバーセキュリティー企業の人材不足もニュースになっています。

関連記事:サイバーセキュリティ人材市場は需要が加熱する一方|キャリアニュース

今後は、個人データの取り扱いなどのサイバーセキュリティーの面で十分な準備を行っていない企業に同様の問題が起こる可能性もあり、企業では十分に準備を整えておくことが急務となります。

こういった背景からも、サイバーセキュリティ企業、関連コンサルティング業などは今後雇用拡大が見込まれる業界と言えるでしょう。

関連する業界、職種、アメリカやEUなどの取り組みには注目していく価値がありそうです。

参考記事
https://www.mwe.com/single_page/gdpr/
https://www.techrepublic.com/article/companies-still-unprepared-for-gdpr-rule-changes-and-potential-eu-data-breaches/