5 月 25 日、EU の GDPR(General Data Protection Regulation)がスタートしました。
日本でも、マルチナショナルなビジネス展開をしている企業は、その対応が必須なのですが、日本で関係するだろう企業の 10 % 程度しか対応が完了していないという報道もあります。
アメリカでもいくつかの企業で対応が遅れているために、EU では、当該サイトを閲覧できないなど、影響が顕著に表れています。
多くのセキュリティ関連のサプライヤ企業が、GDPR に関する対応セミナーを開いていますが、企業の対応は遅々と進まない状況かもしれません。
そもそも日本の企業の多くは、GDPR が EU 域内の企業を対象としたものと勘違いしている処も少なからずあり、(個人)情報の取り扱いに対して、リスク対応すらしていない大企業もあります。
当初アメリカの企業も GDPR の推移に懐疑的であったのが、今では、GDPR 対応をアピールするほどになり、個人情報取扱いに対して世界のデファクトスタンダードになるものと思われます。
日本の個人情報保護法にも少なからず影響を与えるのは必至であり、今後時を待たず、改訂されるのでないかと思われます。
対応のポイントは、
- 個人情報を含むデータの棚卸とデータ種に対応した取り扱い(認証など)
- 情報の流れに関するログ収集と解析手法の確立
- インシデント発生時の追跡手法の確立と専門組織化(CSIRT)
は最低限ですが、これは何も GDPR に対応するだけではなく、現在の日本国内のサイバーセキュリティでも、本来原則的に求められるものです。
ただ、3.項は、技術的にも運用負荷的にも企業に大きな負担を強いて、多くの企業が二の足を踏んでいる部分でもあります。72 時間以内という制限に叶うシステム対応は、大きな出費が前提となります。ここをサボって摘発されて、2000 万ユーロ(25.6 億円)を払うのかですが…