#GDPR ベンチマーク レポート: GDPR(EU 一般データ保護規則)で、あなたの会社はどうなる? どう準備する?

投稿日: 12/06/2016
feature image

※この記事は、2016 年 11 月 29 日に 米国 AvePoint のブログに掲載された “The GDPR Benchmark Report: GDPR’s Impact on Your Business and How to Prepare” の翻訳となります。
EU 一般データ保護規則 (GDPR) は、欧州連合 (EU) 圏内に居住する個人のデータ保護を強化するために、欧州委員会 によって制定された 規則 (Regulation) です。 GDPR には、EU 圏外にデータを転送する場合の対応についても定められています。

GDPR は 2016 年 4 月 27 日に採択され、約 2 年の移行期間を経て 2018 年 5 月 25 から発効する予定となっています。指令 (Directive) と異なり、各国政府が法制化して有効化する必要はありません。

GDPR は EU 圏外の企業にも影響する

GDPR は、欧州に物理的に存在する企業・組織ばかりでなく、EU 圏内に居住する市民に対して商品やサービス (クラウド サービス含む) を提供する企業・組織であれば、対象となる可能性があります。ただし、国家安全保障に関連する、もしくは法執行に関係する場合は、この限りではありません。

これまでの規制との違い

これは、「特定の場所に位置している事業体でない限り、その法の影響を受けることはない」 との解釈がされてきた現行の体制に、大幅な改変が加えられるということでもあります。

また、万が一情報漏えいが発生した場合の過料は飛躍的に増額されており (最大で全世界年間売上高の 4 %)、プライバシー影響評価 (PIAs) の実行とデータ保護担当者 (DPO) の任命が必須となり、エンジニアリング プロセス全体にわたるプライバシー・セキュリティ対策、業務システム全体をカバーする個人情報インベントリとデータ マッピングが必要となるなど、従来よりも格段に厳しい要求が追加されています。

002更に、自社・組織がこれらすべてを実行していることの証明も要求されることになります。

これは決して片手間に準備・対策できる部類のタスクではなく、多くの企業・組織にとって大幅な体制変革・見直しを迫るものとなります。これは、既にプライバシー保護プログラムを用意している企業・組織にとっても同様です。
また、GDPR の導入により、プライバシー最高責任者 (CPO)、情報セキュリティ最高責任者 (CISO)、情報最高責任者 (CIO) の間で、より密接な連携が必要とされる局面が増加する可能性があります。

経営陣に対しては、以下のような要求が発生します。

  • より厳密なデータ保護規則 (同意・透明性・通知)
  • プロファイリング ルール
  • プライバシー影響アセスメント (PIAs)
  • プライバシー・バイ・デザイン
  • データ保護機関 (DPA) および個人に対する情報漏えいの際の通知
  • データ処理業者に対する直接の義務と法的責任
  • アカウンタビリティ (説明責任) とプライバシー プログラム
  • データ処理の内部記録
  • データ保護責任者 (DPO) の任命

GDPR では、「個人情報」 の定義は、「識別された又は識別され得る自然人 (「データ主体」)」 に関するあらゆる情報、直接または間接的に個人を特定することができるすべての情報とされています。

つまり、名前、写真、メールアドレス、銀行関連情報、SNS への投稿、医療情報、IP アドレスなどがすべて該当することになります。「機密性の高い個人情報」 (明確な定義はありません) には、疾患に関する情報、所属する宗教・政党の他、個人に対する差別の要因となる可能性のあるデータが含まれます。

世界の企業が準備のためにしていること

AvePoint では、著名なグローバル セキュリティ シンクタンクである Centre for Information Policy Leadership (CIPL) と共同で、企業が自社の GDPR への準備をどのように自己評価しているかについて調査を実施しました。

調査結果全文 (英語) は CIPL の Web サイトからダウンロード可能です。結果は欧州員会、EU の DPA、調査機関などに配布されます。

今後も 1 年に一度、同様の調査を実施する予定です。これらの調査結果の共有は、潜在的顧客、現在の顧客、パートナーにとって貴重な情報となることでしょう。

AvePoint では、GDPR に関する IT・情報セキュリティ・データ保護などの側面に関するリソースを数多くご用意しています。詳細については、弊社までお問い合わせください。

AvePoint/CIPL GDPR ベンチマーク レポート

003この調査の目的は、企業・組織に対して GDPR に対する準備に関するベンチマークを提供し、必要となる運用管理プログラムの変革を後押しすることにあります。

今回の調査では、GDPR にともなって企業・組織の通常業務・コンプライアンス順守体制に関係してくる、キーとなる領域およびトピックに焦点を当てました。

総回答数は 223 件であり、大部分を多国籍企業が占めていました。回答によると、93% が欧州圏で、50%強が米国で、半数以下の企業・組織は南アメリカとアジアで事業を展開しています。最も回答の多かった業種は IT で、保険・金融、製薬・ヘルスケアがそれぞれ第二位・第三位を占めています。

回答企業は情報管理 (controller) が 57%、情報処理 (processor) が 43% と、情報管理が処理をやや上回る結果となりました。回答組織の歳入は、100 万ドル以下から 1,000 億ドル以上までとなっています。

004今回の調査では、ほとんどの企業・組織では、GDPR が自社に与える影響についてのアセスメント、組織全体での対応計画、追加のリソースの要不要の見極めなどを開始していることが明らかになりました。

今回の調査のキー ポイントを、以下のようにまとめてみました。

 

1. GDPR の影響: 自社に対して最も影響があるのは、総合的プライバシー管理プログラムの導入が必須となることであるとの回答が最も多く寄せられました。その他、情報取り扱いを行う第三者機関との契約や使用、データ セキュリティおよび情報漏えい通知についても影響が大きいと考えられているという結果となりました。予想されていたとおり、最高経営陣が最も強い懸念を寄せているのは、GDPR で強化された制裁ルール・データ漏えい通知要求、および規制が自社のデータ戦略やデータの使用可能性について及ぼす影響についてであることが明らかになりました。

2. GDPR への備え: GDPR への準備については、企業・組織にとってばらつきがあることが明らかになりました。ほとんどの企業・組織がデータ保護担当者 (DPO) を任命しており、多くの企業・組織は準備のためのリソースを増加させる・追加を検討している段階であると回答しています。

3. コンプライアンス テクノロジーとソフトウェア: 企業・組織は現在のところ、コンプライアンス・データ プライバシー関連のタスク処理を扱うテクノロジー ツールやソフトウェアを使用する、もしくは使用できる立場にないようです。データ保護評価 (DPIAs / Data Protection Impact Assessments) やデータ分類、タグ付けポリシー、データ処理インベントリ、新しいデータ ポータビリティ ライツの自動化・産業化を実行している企業・組織はまだ一部にとどまっています。

4. GDPR 対策導入プログラムへの社内協力体制: データ プライバシー コンプライアンス、IT システムとインフラストラクチャ、組織のデータ戦略の間には相互依存関係が存在するため、GDPR 対策の導入は組織ぐるみで実施し、業務管理プログラム全体を対象に行うとともに、DPO、CISO、CIO、最高開発責任者 (CD)、 相談役 (GC) など、最高経営層の積極的な関与を求める必要があります。

以下に、調査結果 から抽出した興味深い統計をまとめました。

セキュリティ デザイン アセスメント (SDA):

  • 回答企業の 59% が新 IT システムへの SDA を実行。旧 IT システムに対する SDA を実行したのは 41%
  • しかし、4 社中 3 社は方法を 「手動実行」 と回答

データ保護評価 (DPIAs / Data Protection Impact Assessments):

  • 50% 以上の回答企業が、個人のプライバシーに対して重大な脅威となるプロジェクト・大規模な機密情報の処理に対して DPIAs を実行。方法は手動と自動実行の両方が利用されている
  • しかし、個人に対する多様なリスクを検知・分類するフレームワークや手順を持っているのは、全体の三割強 (36.3 %) の組織のみ
  • DPIAs に対応する自動化システムを自社所有、もしくは商業利用しているのは、全体の 25% 以下

プライバシー・バイ・デザイン:

  • 新規プロジェクトに対してプライバシー・バイ・デザインを導入しているのは全体の半分以下 (40.5%)。更に 42.4% が 「対象となるのは全体ではなく一部のみ」 と回答

データ分類:

  • 機密情報にタグ付けを行っている企業・組織は、全体の 3 分の 1 以下 (32.9%) のみ

データ ライフサイクル管理

  • 40% 近くの企業が、データがライフサイクルを通じてどのように扱われているか知らないと回答
  • 回答企業の 40% 以上が、すべてのデータ処理アクティビティの記録管理を査定する必要のある 情報処理 カテゴリーに所属

データ インベントリ:

  • 半数前後の企業が、内部用データ インベントリもしくはデータ処理記録を保持
  • 60% が内部用データ転送のインベントリを保持
  • しかし、25% はデータ インベントリを所有していない
  • 25% が、GDPR で要求されている情報処理の内部記録を持っていない

レポート全文は こちらからダウンロードできます (英語のみ)

GDPR 対策のために AvePoint ができること】

GDOR が求める厳しい情報管理体制を実行し、情報資産を適切に保護するためには、「データ分類」 機能が欠かせません。

AvePoint の Compliance Guardian は、SharePoint・ファイル サーバー・データベース・Office 365 などの多様な情報基盤を対象に、情報セキュリティが適切に守られる環境を構成するプラットフォームです。

Compliance Guardian は、組織内で統一されたデータ分類基準に従い、既存のコンテンツと新規データの両方を対象に、コンテキストと所有者情報に基づいた自動タグ付けを実行します。自動で実行可能なアクションにより、時間と IT リソースを節約することが可能になるばかりでなく、アクセス権限ポリシーや情報ガバナンス ポリシーが自動的に守られる環境が実現します。

★AvePoint Compliance Guardian のデータ分類機能の詳細については、こちらでご確認ください。

Share this blog

ブログを購読する