EU一般データ保護規則(GDPR)が、2018年5月25日に発効しました。個人のデジタル権を保護することを目的としたこの規則の運用に備え、企業のIT部門が躍起になって準備する様子は、私たちの多くがまだ鮮明に覚えている2000年問題をほうふつとさせるものでした(年齢がばれますね)。

ただし、GDPRの実施日が到来した今、次に何が起こるのでしょうか。GDPRは一件落着したのでしょうか。そうでない場合、今後どのような影響があるでしょうか。

![GDPRが発効した](/blog/gdpr-deadline-3 ?make_link=true)

これらの疑問に答えるため、まずGDPRについて企業の間でよく見受けられる3つの誤解を取り上げ、([ネタバレ]になってしまいますが)GDPRがまだ道半ばであることの紛れもない証拠をお見せしたいと思います。

GDPRは5月に発効した- それは今終わった

最近公開されたNuxeoとAIIMによる調査レポート「GDPRの遵守期限が到来した後は?」によれば、多くの組織にとって、GDPR遵守に向けた準備の唯一の理由は、それが法律で義務付けられているからです(39%)。ただし、GDPRの「運用」が開始されたからといって、組織がデータプライバシーについて気を緩めてよいわけではありません。

GDPRコンプライアンスの管理は、継続的な取り組みであるべきで、終了日の決まった単発プロジェクトではありません。実際、GDPRの実施日である5月25日までに遵守に向けての準備が完全に整ったと答えた組織がわずか30%にとどまっていることからわかるとおり、完全遵守に近づくためにやるべきことはまだ山積みです。

また、この調査の結果が示すとおり、GDPRの発効後12か月以内に平均60件の個人情報の開示請求(SAR)が組織に送られる見込みです。これは、新しく導入した手順の有効性が早期に試されることを意味します。ところが、この調査に回答する企業は、SAR 1件あたり約4,600ユーロのコストがかかると予想しており、新しい手順が必要なレベルまで合理化されていない可能性があることを示唆しています。

GDPRを取り巻く騒ぎは一段落しましたが、GDPRを遵守できずに罰金を科される組織が時間の経過とともに増えるに伴い、また、SARに対応するコストを最小限に抑えるためにも、継続的データ管理とセキュリティの視点からGDPRに取り組み続けることが必要となります。

##GDPRの対象は欧州だけ
GDPRは欧州連合の定める指令であることから、欧州以外の地域の組織が自分は適用対象外であると考えていた、あるいはいまだにそう考えているケースは決して少なくありません。これは間違いです。GDPRは、EU域内の市民に関する情報を保有しているすべての組織、または欧州組織と取引しているすべての組織に適用され、これらの組織数は膨大な数に上ります。

![GDPR欧州](/blog/gdpr-deadline-2 ?make_link=true,float=left,w=450)

本規制の適用範囲を正しく理解した組織も多数いますが、皮肉なことに、米国におけるGDPRプロジェクトの平均予算(470万ユーロ)が、欧州本土のそれ(280万ユーロ)をほぼ60%上回っています(ただし、英国は例外で、平均支出が440万ユーロとなっています)。

ここからわかることは、欧州企業がGDPRを軽んじているというわけではなく、米国や英国などの国には、プライバシーや情報全般のガバナンスに関する厳格な手順がもともと確立されていたということです。欧州組織に対するGDPRの全般的な影響は、時間が経たないとわかりませんが、米国組織にしてみれば、氷山の一角にすぎません。

Forbes社のDon Elledge氏は次のように述べています。「2017年には、全米で少なくとも42の州がサイバーセキュリティに関連した240の法案と決議を提出しました。これは、前年の2倍以上に相当する数です。」こうした動きはGDPRと直接関連しているというよりも、数々のデータ流出事件(EquifaxやUberなど)が起き、米国の新聞やニュースでデータ保護が大きく取りざたされた結果という色合いが濃いものです。データ流出件数が2018年に減少する兆しはないことから、限定的な国内法の制定が増加する傾向(GDPRが軽減しようとしている動き)は、少なくとも欧州で今後も継続するものと予想されます。

自分の組織はすでにGDPRの準備はできている

先ほど述べたとおり、GDPRの実施日までに遵守に向けての準備が万全であると考えていた組織の割合は約30%、準備がほぼ完了すると考えていた組織もさらに50%に上っています。大変前向きな数字ですが、実情を反映しているとは限りません。

もう一度言いますが、GDPRは継続的な取り組みであって、一回限りの措置ではありません。つまり、今日完全に遵守できている場合でも、データ保護の取り組みを明日以降も続けることが必要です。遵守に向けての準備がまだ整っていない組織が指摘している主な懸念事項としては、以下に関連した組織のデータプライバシー管理能力に対する自信のなさが挙げられています。

  • 共有ドライブ(34.5%)
  • メール(28%)
  • サードパーティ製SaaSアプリケーション(30%)

![GDPRデータコントロール](/blog/gdpr-deadline-1 ?make_link=true,float=right,w=300px)

この調査をもう少し深く掘り下げてみると、機械可読データを提供する組織の能力、反論対応、そしてデータ主体の忘れられる権利が弱点として浮き彫りになっています

この中でも最後のポイントは特に興味深いものです。今日の「忘れられる権利」に相当する、デジタル時代より前の時代の造語「ひとりで放っておいてもらう権利」は、1890年版(古い!)の法学雑誌「Harvard Law Review」で初めて使われました。あれから約130年経った今も、この概念を実践するのがいかに難しいかがわかります。今から130年後もGDPR(とその不履行)が話題に取り上げられていないことを願うばかりです。