GDPRは欧州の企業にとっても想定外の工数がかかっていた様で、カリフォルニア州消費者プライバシー法(CCPA)への対応の難しさに対して警鐘を鳴らす記事が気になりました。
www.helpnetsecurity.comDPR
GDPRの遵守を達成するための通知が2年与えられたとしても、2018年5月25日までに遵守していると自己申告した企業は半数に過ぎない、とDataGrailの調査は明らかにしている。
(中略)
GDPRコンプライアンスは予想以上に時間がかかりました
2018年5月25日の期限までに自己申告されたコンプライアンスを達成したのはわずか半数の企業でした。
ほとんどの企業は、準備を整えるために7か月以上かかりました。
GDPRの準備さえも高価です
GDPRコンプライアンスを管理するために、3分の2の企業が数十、または数百人の従業員を任命しました。調査結果によると、平均的な組織はGDPRの準備に2000年から4000時間を費やしました。これは1年以上の作業です。
プライバシー管理の意思決定者の半数は、個人でGDPRの準備をするために最低80時間、コンプライアンスを維持するためにさらに80時間を費やしました。これも1か月にわたる仕事です。
プライバシー権の要求は時間がかかり、エラーが発生しやすい
半数の企業がGDPRプライバシー権の要求を管理するために手動のプロセスを使用しています。
過去3年間の企業の3分の2が、数十のビジネスシステムとサードパーティのサービスにまたがって少なくとも100件の要求を処理しており、その大部分は少なくとも25人の従業員が要求管理に携わっています。これは、ヒューマンエラーを引き起こす可能性がある何千もの接点です。圧倒的多数のプライバシー専門家が、これらの要求における手動エラーのリスクを減らすために取り組んでいます。
(Help Net Security記事より引用)※機械翻訳
◆キタきつねの所感
GDPRは、ほぼ対応してない(そもそも影響があるのかの分析もし切れれてない)多くの日本企業にとって、未だに脅威であると思いますが、米国カリフォルニア州での動き(CCPA)等を考えると、これから多くの国で厳しい情報保護法が施行されてくる可能性は高いです。
準備がある程度整っていたGAFAすらGDPR違反で巨額の罰金対象になり始めている現状を鑑みると、日本企業によくありがちな、見かけ上の体制だけ整えたといった対応では、大きな事件が発生した際の影響(罰金)が、見せしめも含めて大きくなる気がします。
そんな中、欧州の準備期間、あるいは準備コストのデータは日本企業が本気で法案対応をする際のベンチマークとなるかも知れません。GDPRの準備にかかる時間が7か月以上、対応人員が数十人以上が欧州企業の平均であるのだとすれば、母国語ではない法案の読みこなしを考えると、自社だけで考えると1.5倍~2倍の負荷がかかると考えるのが妥当だと思います。
とは言え、当初言われていた程の罰金額(全世界売り上げの4%又は2000万€の高い方)を科された企業は出てきていないので、罰金額がそんなに高くないと見越して『何もしない』日本企業も相当数いるかも知れません。それはそれで個社のリスク管理策としては正しい気もしますが、私は、大きな事件で見せしめとして、もっと凄い罰金を科される企業が出てくる危険性を捨てるのはまだ早い気がします。
国内の個人情報保護法などと併せて、インシデントを発生させない(その可能性を低減させる)セキュリティ体制の構築には、継続して(あるいは増額して)力を入れていった方が良いかと思います。
更新履歴
