EU一般データ保護規制(European Union’s General Data Protection Regulation、以下 「GDPR」。)の発効を数週間後に控え、多くの企業はその準備不足のため高額な制裁金の脅威に直面しています。
Cordium※1、および AmberGate※2が共同で実施した最近の調査によれば、グローバルに展開する金融機関の内、その50%以上が、GDPRの施行日(2018年5月25日)までに体制が整わないだろうとのことです。
※1:Cordiumは、ロンドン、ニューヨークなどに拠点を有するコンサルタント企業。ガバナンス、リスク、およびコンプライアンスサービスを提供。
※2:AmberGateは、ロンドンを拠点とする情報セキュリティ関連企業。データ保護、およびセキュリティコンプライアンスを得意とする。
調査は、250社を超える金融機関で実施され、金融業界全体でGDPR対応の準備が著しく遅れていることが明らかになりました。聞き取りを実施した金融機関の内、GDPR対応の方針と運用を実行完了したと回答した機関は、全体のわずか2%という結果でした。
更に、金融機関の59%は、個人データ侵害(情報漏洩)が判明した場合の監督機関への通知までの猶予期間が72時間という要件に対し、準拠できる体制が整備されていないとし、64%は、データ主体の権利の行使に対応できる体制が整備されていないという結果でした。
Source: GDPR Benchmark Report – Cordium, AmberGate
図3:金融機関のGDPR遵守の取り組み、その進行度合い(N=229)
出典:GDPRベンチマーク調査報告 – Cordium、およびAmberGate
Michael Corcione氏(Cordium、サイバーセキュリティ、およびデータ保護コンサルティングサービスのマネージングディレクター)は、同社のプレスリリースにおいて、GDPRの取り組みの開始がまだ(または、導入初期段階)で、施行日までに準備が整わない企業は、「深刻なコンプライアンスリスク、およびレピュテーションリスク(風評被害)」に晒されるだろうと警鐘を鳴らしています。
「準備不足の要因は、企業が規制対象だとの認識に欠けていることに加え、これに先立って施行されたMiFID II ※3 の対応に追われ、GDPRに手が回らないことです。残り僅かな期間(2週間)のうちに、企業は手続きを定めて実際に運用しなければならないわけです。」と、Corcione氏は述べています。
※3:MidFID II:EU内の金融市場を調和する目的で制定された新たな金融商品市場指令。
GDPR遵守に関し、現時点で最も圧力が生じているのはどの分野かとの質問に、自社の内部管理部局との回答が45%を占め最多で、次いで、規制当局の圧力がほぼ39%でした。一方で、回答者の15%は投資家と顧客と回答しました。
Source: GDPR Benchmark Report – Cordium, AmberGate
図4:GDPR遵守の圧力が最も生じている分野(現時点) (N=243)
出典:GDPRベンチマーク調査報告 – CordiumおよびAmberGate
「この投資家と顧客からのプレッシャーは、GDPR発効後に増加すると見込まれます。特に金融機関は今後資金調達の時期に突入することも考慮に入れる必要があります。」と、調査報告書 (PDF)で報告されています。
「投資家や顧客に自社のGDPR遵守の取り組みが遅れている、または情報セキュリティとプライバシーが堅牢ではないなどと、伝えたいと思う企業はないでしょう。すでに多くの企業は、投資家と顧客から、GDPR対応の準備状況について問い合わせが入っているようです。」
AmberGate創業者兼CEOのRobert Baugh氏は、「多く企業ではGDPR対応にリソースと時間をつぎ込む必要があります。組織の大半でいまだやるべきことが多く残存していることは明らかです。」とコメントしています。
