どの分野においても、成功の秘訣は準備にあると言われます。「備えあれば憂いなし」よくわかっているはずなのに、失敗から学んだ人からのこのせっかくの貴重なアドバイスに耳を貸さないと、ツケが回ってきます。
EU一般データ保護規則(GDPR)発効までの2年の準備期間中に、「どう対策を講じるのか」という課題が徐々に「もう手遅れか?」という焦燥に変わっていったのももっともなことです。
GDPRへの最終搭乗案内
GDPRは、特に英国では、いろいろと混乱を招いています。というのもEU離脱問題の国民投票と時期が重なってしまったため、この規制が果たして英国に適用されるのか疑いを持つ人もいたからです。加えて、従来からGDPRへの懐疑的な見方や、先行き不透明感などが存在していました。さらにGDPRがうんざりさせられるほど多岐にわたる規制のため、もう知りたくもない、と耳を塞いでしまった人もいます。
その一方で発効まで8ヶ月を切り、また英政府が独自のデータ保護法を通じてGDPRの施行に踏み切る構えを明らかにしたことから、出遅れながらもこれからGDPR遵守に乗り出そうとするケースも見られます。
もう手遅れですか?
いいえ、必ずしもそういうわけではありません。
ただ一概に断定もできない複雑な問題で、大丈夫かどうかには以下のような様々な異なる要素が絡んでいます
- GDPRの前身であるDPD(1995年データ保護指令、1995年施行)にはどれ程準拠できているか
- GDPRの規制対象となっている範囲がどれくらいあるか
- 組織の規模と顧客の所在地
- 情報セキュリティ分野での組織の成熟度
- 既存のセキュリティ管理体制を一部変更する際の柔軟性
ほとんどの組織で最大の障害は、短期間で自社のビジネスモデルを時には抜本的に変更できる能力があるかという点です。例えば「忘れられる権利」等のデータ主体の権利に対処するためのワークフローの作成と実行の問題を例にとってみましょう。社員を教育し、該当する請求があったらそれを認識し適切な担当部局に指示して義務づけられた30日以内に処理ができるようにならなくてはなりません。この処理を正しく実行できるだけでなく、監督機関の求めに応じて、手続きについて説明ができるようにしておく必要もあります。
あきらめる必要はありません
敏捷性に欠ける大企業の中には、GDPR対応の煩雑さに恐れをなして半ば諦めモードになっている向きもあるかもしれません。しかし残された8ヶ月で実行可能な手段は十分あります。既存ワークフローの変更範囲と担当人員の配置を抑制するようにすれば余計なコストを恐れる必要もありません。2018年5月のGDPR施行と同時に違反状態に陥ってもしかたないとあきらめていませんか?
確かに、発効までギリギリのこの時期、あきらめモードになりがちなのも理解できます。またせっかく悩んでも結局は取り越し苦労になる可能性も排除できません。よく言われることですが、GDPRはいまだ判例の確立していない規制であり、EUの監督機関もGDPR規制違反の取締りに万全な態勢を備えていません。そして現行法のDPDと同様に、GDPR条項のほとんどは精神的規定にとどまっているため、実際問題が生じて初めてその内容が確認されることになります。
準備の手順を知る
私はGDPR遵守のプロ、コンサルタントとして、このような未確定要素があるにせよ、それを口実にしてGDPR遵守に向けての準備の先延ばしや、違反状態などといった深刻な状況を看過してよいと進言するつもりは毛頭ありません。むしろ、最も罰則に抵触するリスクの高い範囲を特定し、重点的な対策を講じることを強くお勧めしたいと思います。
以下のステップを踏むとよいでしょう:
1.専門家と相談する - GDPRは検証されていない新しい規制なだけに、自称「専門家」が数多く存在します。正直、区別をしてもあまり意味がないですし、また私の偏見かもしれませんが、GDPRを理解するために多くの時間を割き、専門資格を有する人の意見には十分耳を傾ける価値があると考えます。
2.関係者の協力は不可欠 – チーム体制の協力なしにGDPRの対応はできません。上級管理職の積極的な関与に加えて、現行の実務を変更する必要があることをユーザーが十分理解することが必要です。人は本質的に変更を嫌うので、だからこそ、なぜ変更が必要なのかを納得させることは重要です。ことGDPRに関しては、できる限り多くの理解者・協力者が必要です。
3.現実を知る – 残り8ヶ月という期間の中で、全てに対処するのは難しいかもしれません。経営層と上級管理職は対策に出遅れている現実を認識し、それに伴うリスクを理解しなければなりません。
4.ギャップ評価を取り入れる – GDPR対応の遅れを分析・評価するサービスが豊富に提供されており、直接面会して、またはオンラインで利用することが可能です。準拠の度合い、そして対応不足の範囲の特定など、現状と望ましい状態とのギャップの把握に大いに役立ちます。影響が及ぶ恐れのあるクリティカルな範囲に集中した対策に取り組むことができるようになります。
準備不足に対応する
何事も最終段階では「受け入れる」ことが肝心だとすれば、2018年5月になっても万全な態勢は整っていないという可能性も視野に入れておかなくてはなりません。自分たちだけでないかと心配しなくとも、他にも似たような、またはもっと深刻な状況にある組織があるでしょう。GDPRについては2年前から分かっていたとはいえ、データ保護法の歴史の中では未曾有の出来事であり、全業界が既存のビジネスモデルの抜本的な見直しを強られているのです。従来の手法を一度も刷新したことがない業界すら例外ではありません。
情報セキュリティに見識のない小規模組織や、データ取り扱いの知識に乏しい同族会社、そして自分たちには無関係だと決め込んでいる組織などは、GDPRが実行される8ヶ月後に呆然と立ち尽くすことになるでしょう。
私の元には「もう手遅れでしょうか?」という質問が多く寄せられますが、私の答えはこれです。「手遅れだと自覚しているなら、まだ間に合います。」
GDPR対応準備状況アセスメント(オンライン版)*思わぬところに潜むリスクを発見し、専門のアドバイスを受けて、GDPR対応の準備向上に生かしましょう。
著者紹介:Chris Payne氏は、通信・ネットワークインフラストラクチャ業界でキャリアをスタート、その後情報セキュリティ産業に関心を抱き同業界に転身。ITセキュリティ通信業界でテクニカルコンサルタントとして長年従事し、大手セキュリティ会社、流通・卸売り業者、顧客等への対応にあたってきました。ホワイトペーパーやブログ、刊行物に数多く寄稿、英、デンマーク、ノルウェー等でイベント等の主催やプレゼンを行っています。Buiness Reportersオンライン版でその様子が動画配信されました。近年では、情報セキュリティを専門とし、IBITGQ(International Board for IT Governance Qualifications)のプログラムでGDPRの専門家認定資格を取得、ITセキュリティソリューション、およびコンサルタントサービスを提供するAdvanced Cyber Solutions Ltd.の創設者です。Chris氏のプロフィールについてはLinkedIn と Twitterもご参照ください。
編集後記:本記事で表明された著者の意見は、あくまで本人の見解であり、必ずしも Tripwire, Inc. の見解を反映していません。
