EU GDPR対応状況調査結果‐米英から後れた日本企業は、高額な制裁金が課せられるコンプライアンスリスクに対応できるのか‐
2017-10-05
2017年6月にPwC Globalが実施したEUのGeneral Data Protection Regulation (GDPR-一般データ保護規則)対応状況に関する調査で、各社のGDPR対応の状況がわかった。
この調査は、欧州でビジネスを展開している米国、英国、日本の各企業、約300社のCPO(Chief Privacy Officer)やCIO(Chief Information Officer)など、プライバシーリスクを担当する役職員からの回答を元に構成されている。
米英から大きく出後れている日本企業の実態が浮き彫りに
GDPR対応を進めている各社の進捗を見ると、米国では約22%の企業が対応を完了していると回答した一方で、日本企業で対応を完了したと回答したのは、わずか2%という結果であった。
アセスメントすら完了していない企業の割合を見ても、米国の31%に対して日本は60%と、半数以上の企業がGDPR適用までのロードマップを描けていないことになる。GDPRが適用される個人データの所在も把握できていない状態にあれば、これは巨額の制裁金というリスクを抱え続けたまま、GDPRの施行を迎えることになるだろう。
これは、GDPRによる影響を重大な経営リスクとして捉えていない日本企業の対応の甘さが浮き彫りになったとも言える。
定量的な進捗状況
Q:貴社のGDPRコンプライアンス準備の進行状況として最も近いものはどれですか?
割高になるGDPR対応へ適切な評価と予算措置を
GDPR対応に対する投資額を比較すると、アセスメントが完了したとする企業のうち、62%の企業が100万ドル(約1億1200万円)以上、26%が500万ドル(約5億6000万円) 以上の投資を見込んでおり、運用具体化が完了したと回答した企業のうち、88%の企業が100万ドル以上を、59%の企業が500万ドル以上の投資を予定している。
一方で日本企業を見てみると、同じくアセスメントが完了したと回答した企業では、88%の企業が100万ドル以上、41%が500万ドル以上の投資と回答しており、米英企業に比べると割高な結果となった。
アセスメントも完了していない6割の日本企業は、2018年5月までに急ピッチで進めるGDPR対応に、予期せぬ予算措置を強いられる可能性がある。
膨張する予算
Q:GDPRの準備とコンプライアンス対応に、どの程度の予算を見込んでいますか?
GDPR対応をITベンダー企業に依存している日本企業
このGDPR対応をITベンダー企業に依存する割合が、日本企業だけ突出しているということが今回の調査で顕著となっている。
GDPR対応を自社のみで対応することは難しい。これは、リーガル、セキュリティ、テクノロジー、オペレーションなどの各領域に対する横断的な変革が必要となるためである。
こうした実態を踏まえると、米国企業では、コンサルティングファームへの依存が昨秋の68%から今回は71%へ、法律事務所への依存が46%から50%へと増加している。
一方で日本企業は、実に85%がITベンダー企業を利用しており、これは61%が利用していると回答した米国企業と比較しても、大きな割合を占めている。
パートナーシップの価値
Q:GDPR対応を進めるために、どのような外部企業(サードパーティー)を利用していますか?
多くの日本企業が今後の巻き返しを計画
GDPR対応に必要な各対策領域別の対応状況を見ると、日本企業はいくつかの重要な領域において後れをとっている。
”データライフサイクル管理”や”トレーニング”、”国境を越えたデータ戦略”、”プライバシーのインシデント管理”などの分野では、米国企業や英国企業の対応状況と比べると、大きく後れを取っていることがわかる。
一方でこの調査結果では、日本企業の経営者がこの後れを理解し、取り戻すためにかなりの費用投資を考えていることも示している。調査結果によれば、77%の日本企業が、最低でも100万ドルをGDPRプロジェクトに投入する予定としており、米国や英国企業よりも多くの投資を計画していることになる。
日本企業のGDPR対応は、まさにこれから本格化するものと言える。
GDPRプログラムの構成要素別の進捗(国別)
Q:貴社のGDPRコンプライアンスギャップに対応し、プライバシープログラムを確立するためのGDPRプログラムの構成要素について、それぞれの進捗度合いをご回答ください。
GDPR対応が他社との差別化要素に
容易に想定される事実として、少なくともいくつかの企業は2018年5月までにGDPR対応が完了しない可能性が高い。
そのような中、今回の調査によると、米国や英国ではGDPR対応を市場の潜在的な差別化要因として認識している企業もあり、GDPR対応準備を完了した企業のうち、38%が積極的にIR部門を巻き込み、早期のGDPR対応完了を強調することで競争優位性を得たいと考えている。
ただし、この観点で日本企業を見ると、運用を具体化した企業の中でもIR部門の関与はわずか8%と少なく、GDPR対応を“攻め”の要素としてもとらえている海外企業に後れをとっているといえる。
IR部門の巻き込みが差別化要因
GDPR対応に向けた準備が進んでいる企業では、それぞれの市場での競争優位性を獲得するために、コンプライアンスへの早期取り組みをIR部門が広報している
Q:これまで、GDPRの準備および実装には、貴社のIR部門/部署が関与していますか?
