EU GDPR対応状況調査結果 vol.2:GDPR施行後に顕著になるリスクと日本企業の対応後れ

2018-06-06

2018年1月、PwC GlobalはEUのGeneral Data Protection Regulation(GDPR:一般データ保護規則)対応状況に関する調査を実施しました。調査結果から、各国企業によるGDPR対応の進捗状況が明らかになるとともに、欧米に後れをとる日本企業の実態も浮き彫りになりました。

本調査レポートは、欧州でビジネスを展開している米国、英国、日本の各企業、約300社のChief Privacy Officer(CPO)やChief Information Officer(CIO)、プライバシーリスクを担当する役職員からの回答をもとに構成されています。

欧米に後れを取る日本企業の実態が鮮明に

米国の回答者のうち、4分の1以上(28%)は各対応策に着手したに過ぎず、10人中1人が作業を終了したと答えています。英国では、回答者の3分の1以上が各対応策に着手し、7%が終了したと答えています。日本からは、13%が各対応策に着手、6%が終了しているとの回答を得ています。

各国のGDPR対応状況

Q:GDPR対応はどれぐらい進んでますか?

各国のGDPR対応状況

今後はGDPR対応の効率化を検討する段階

全回答者の約半数(47%)は、GDPRコンプライアンスおよびモニタリングに100万ドル以上、約3分の1(30%)は、50万ドル~100万ドルの投資計画を立てています。

米国の回答者の55%は100万ドル以上を投資すると回答し、27%は50万ドル~100万ドルを投資すると答えています。英国と日本では、42%が100万ドル以上、約30%は50万ドル~100万ドルの投資計画を立てています。

今後GDPRに準拠し続けていくためには相応の投資が必要となるため、施行時点で準拠済みの各社は、モニタリングやグループガバナンスの効率化を検討していく段階となります。

GDPR対応を維持するためのコスト

Q:2018年5月GDPRが施行した後、継続的な遵守とモニタリングに要するコストはいくらですか?

GDPR対応を維持するためのコスト

GDPR対応を維持するための優先投資先は?

2018年5月25日の施行に向け、多くの企業がGDPR対応を進めてきましたが、この対応を引き続き継続・維持していかなければ、取り組みは無駄となってしまいます。

GDPR対応を維持するために各国企業が優先的に予算を投じる分野は各国で異なり、日本企業はデータライフサイクル管理やモニタリングに対して優先的に予算を配分する一方、米国、英国はインシデント管理を優先的な投資先として考えていることが調査結果からうかがえます。

GDPR運用予算の内訳

Q:2018年5月GDPRが施行した後、最もGDPR運用予算を占めると思われるものは?

GDPR運用予算の内訳

GDPR遵守の責任は誰が取ることになるか

回答者の3分の1以上(35%)は、CIO、CTO、またはIT責任者がGDPRの遵守責任を負うと答えました。これは前回調査の回答結果より24%増加したことになります。

また、約3分の1(30%)は、Chief Compliance OfficerがGDPRの遵守責任を負うと答えており、これは前回調査の回答結果より27%増加しています。

GDPRの遵守がCEOの責任であるという回答は17%過ぎず、10%未満が取締役会の責任であると答えています。しかし、回答者の多くはCIOであるため、この結果はCEOや取締役会が責任を放棄するのではなく、CIOがGDPRコンプライアンスに対して責任をとるというアプローチを採用していることの部分的な反映にすぎないものと思われます。

GDPR遵守の管理責任者

Q:GDPR遵守の責任は誰が取ることになるか?

GDPR遵守の管理責任者

欧州当局の対応に楽観的な日本企業と警戒する欧米企業の違い

本質問への回答に、米英と日本との違いが明確に表れています。

当局による制裁措置の発動のタイミングに関し、米国と英国は6割が即時に発動されると考えているのに対し、日本で同じように考えている企業は3割強に過ぎず、米英の半分という結果となりました。日本の半分以上の企業は、6カ月から1年以内で、当局による制裁が行われると考えています。日本と米英の数値の開きは、自国である英国や大量の個人データをグローバルに活用している企業が多く存在する米国との温度差によるものと推察されます。

当局の動き

Q:GDPRの施行後、監督当局はGDPRの制裁措置をいつから開始すると思いますか?

当局の動き

GDPR対応を維持するために必要な技術を検討する必要がある

全回答者の約3分の2は、Internet of Things(IoT)や高度なデータ分析を実施すると回答し、半数以上(56%)が人工知能を利用する予定だと回答しています。日本の回答者の4分の3は、IoTを実施すると答えている。全回答者のうち36%がブロックチェーンを実装する予定であり、30%がロボティクスを実装する予定と回答しています。

今後導入される予定のテクノロジーがGDPR適用を受けることが想定されますが、それはGDPRに限られたことではなく、各国のプライバシー規制を考慮する必要がでてくるでしょう。各企業は、こうした各国の動きを注視していくよう、グローバルのコンプライアンス強化も検討していく必要があります。

今後導入を計画しているテクノロジーでGDPR対象となりうるのは?

Q:GDPR対応を維持していくために必要なテクノロジーは?

今後導入を計画しているテクノロジーでGDPR対象となりうるのは?

関連サービス