「GDPR 対応済み」と回答した企業のうち、実際にコンプライアンスが万全な企業はわずか 2%
2017年7月 26 日 - マルチクラウドデータ管理のリーダーであるベリタステクノロジーズ合同会社(本社:東京都港区、以下 ベリタス)は、本日、「2017 Veritas GDPRレポート」の第2章を発表しました。
「2017 Veritas GDPRレポート」は、米ベリタスが、施行が迫る GDPR(EU一般データ保護規則)への対応に関してグローバルに実施した調査の結果をまとめたものです。
今回発表する第2章は、「GDPRへの対応が済んでいる」と回答した企業の状況について、さらに掘り下げて分析した結果で、これによると、多くの企業において、GDPR に対応済みであるという認識は勘違いであるという実態が明らかになりました。
ベリタスの調査では、回答者の約 3 分の 1 (31%) が「すでに GDPR の主要な法的要件を満たしている」と回答していますが、同じ回答者に GDPR の個々の規定について質問した回答を見ると、その対応が万全かどうかが疑わしい結果となりました。実際のところ、専門家がさらに詳しく調査したところ、対応が万全だと考えられる企業はわずか 2% に留まりました。これは、規制への対応に明確な誤解があることを示しています。
調査結果によると、対応済みと答えた企業の約半数 (48%) が、個人データの流出を検知する十分な可視性を備えていません。さらに、61% の企業が、GDPR の法的要件で義務化されているように個人データの侵害を 72 時間以内に特定して報告するのは困難だと認めています。医療記録、電子メールアドレス、パスワードといった個人データの紛失や盗難の発生を認識してから 72 時間以内に監督機関に報告できなかった企業には、全世界の年間売上高の最大 4% または 2,000 万ユーロのどちらか多いほうの罰金が科せられる可能性があります。この調査結果は、すでにGDPRの法的要件を満たしていると考えている組織も、自社が本当にGDPRを遵守できるのか、再度見直す必要があることを示唆しています。
◆元社員による脅威
元社員による企業データへのアクセスを禁止し、システムの資格情報を削除することで、悪質な活動を食い止め、経済的な損失や評判の低下を回避することができます。それにもかかわらず、GDPR 対策が万全だと回答した企業の 50% は、元社員がまだ社内データにアクセスできると回答しました。このような結果から、コンプライアンスに自信がある企業でさえ、元社員によるアクセスを制御できておらず、攻撃を受けやすくなっていることがわかります。
◆「忘れられる権利」の行使に関する課題
GDPR の下で EU 市民は、企業に対し、企業のデータベースから自身の個人データを削除するよう要求する権利を持ちます。ところがベリタスの調査結果によると、GDPR 対策が万全であると回答した企業の多くは、「忘れられる権利」が行使された場合に、個人データを検索して探し出し、削除することができないだろうと回答しています。
GDPR 対策に自信がある企業の 5 分の 1 (18%) は、個人データを消去または変更できないことを認めています。さらに 13% の企業は、個人データの検索と分析を実施して、個人に対する明示的および暗黙的な参照情報を洗い出す能力がないと認めました。また、これらの企業は、データソースとリポジトリが明確に定義されていないため、データがどこに保存されているのか正確に可視化することもできません。
このような問題点があると、その企業は GDPR コンプライアンスに違反していることになります。企業は、個人データを本来収集した目的にのみ使用し、必要がなくなったら削除するように徹底する必要があります。
◆GPDR の責任に関する誤解を解く
ベリタスの調査からは、クラウド環境にあるデータの責任に関して企業の間で誤解があることも明らかになっています。GDPR に対応済みだと考える企業の約半数 (49%) は、クラウド上のデータのコンプライアンスはクラウドサービスプロバイダ(CSP)が単独で責任を負うと考えています。しかし実際には、データ処理者 であるクラウドサービスプロバイダ が十分に GDPR に対応できていることを確認するのは、データ管理者である企業 の責任です。このような保護に関する誤解は、GDPR の施行後に深刻な影響を及ぼす可能性があります。
ベリタスのエグゼクティブバイスプレジデント兼 CPO (最高製品責任者) のマイク・パルマー(Mike Palmer) は、次のように述べています。
「GDPR は多国籍企業に対し、データ管理に真剣に取り組むことを要求しています。ところが最近の調査結果では、GDPR の義務規定に対応するために何が必要なのかを誤解している状況が見られます。施行日が刻一刻と近づく中、このような勘違いを早急に正すことが求められています。GDPR のような規制に対応するには、社内にどのようなデータがあるのかを把握する必要があります。それに加え、ポリシーを正しく適用するために、データをどのように処理し、どのように分類すべきかも理解しなければなりません。これらはコンプライアンスの基本です。今回明らかになったことを踏まえ、企業を事業撤退に追い込みかねない誤解について企業を指導していく必要があります。」
GDPR は、欧州連合 (EU) 加盟国で足並みを揃えてデータプライバシーとデータ保護の規制に取り組むことを目的としています。企業には、適切な保護手段およびプロセスを実施して、個人データを効果的に管理することが求められます。GDPR は 2018 年 5 月 25 日に施行され、EU 市民に商品やサービスを提供する、または EU 市民の行動を監視する、EU 域内および域外のすべての企業に適用されます。
今回発表した本レポートは、以下のURLからダウンロードいただけます。
◇「2017 年GDPRレポート」第2章(日本語版)
・簡略版(Infographics)
https://www.veritas.com/content/dam/Veritas/docs/infographics/gdpr-infographic-ch2-jp.pdf
・全文
https://www.veritas.com/content/dam/Veritas/docs/reports/gdpr-report-ch2-jp.pdf
◇「2017 年GDPRレポート」第1章(日本語版 / 2017年4月発表)
・簡略版(Infographics)
https://www.veritas.com/content/dam/Veritas/docs/infographics/gdpr-infographic-jp.pdf
・全文
https://www.veritas.com/content/dam/Veritas/docs/reports/gdpr-report-jp.pdf
◇GDPR コンプライアンスに対するベリタスのソリューションの詳細は以下をご参照ください。
https://www.veritas.com/ja/jp/solution/general-data-protection-regulation
◆「2017 年GDPRレポート」調査方法
ベリタスはテクノロジマーケットの調査を専門とする独立系企業の Vanson Bourne 社に調査を依頼しました。2017 年 2 月から 3 月にかけて、米国、イギリス、フランス、ドイツ、オーストラリア、シンガポール、日本、韓国の合計 900 名(内日本100名)の企業の意思決定者がインタビューを受けました。回答者が所属するのは従業員数 1,000 名以上の企業で、部門はさまざまです。回答者の企業が EU 域内で何らかの事業を展開しており、そのために EU 域内の居住者の個人情報 (PII)を保有していることが条件とされました。適切な回答者のみが調査対象となるよう、複数のステップで構成される厳しい審査を経て、オンラインでインタビューが実施されました。
以 上
■Veritas Technologies LLC について
https://www.veritas.com/ja/jp/
情報は、企業にとって最も大切な資産です。Veritas Technologies は、”The truth in Information” の理念のもと、情報を究めようとするすべての企業を支援します。ベリタスのプラットフォームを利用するお客様は、どんなクラウドベンダーに縛られることもなく、デジタル変革の実現、マルチクラウドデータ管理の推進、さらにデータ保護、ワークロード移行、ストレージ最適化、コンプライアンス対策など、これからのIT とビジネスに関わるさまざまな課題の解決を目指すことができます。現在、Fortune 500 企業の 86% が、ベリタスのソリューションでデータ管理を徹底し、競争優位を実現しています。ベリタステクノロジーズ合同会社は、ベリタスグループの日本法人です。
*Veritas、Veritasロゴ は、Veritas Technologies LLC または関連会社の米国およびその他の国における商標または登録商標です。
*その他製品名等はそれぞれ各社の登録商標または商標です。
将来に関する記述: 製品の今後の予定についての将来に関する記述は予備的なものであり、未来のリリース予定日はすべて暫定的で、変更の可能性があります。今後の製品のリリースや予定されている機能修正についてはベリタスが継続的な評価を行なっており、実装されるかどうかは確定していません。ベリタスが確言したと考えるべきではなく、購入決定の理由とすべきではありません。