EU GDPR遵守状況について
はじめに
2024年1月28日(データプラバシー・デー)にオーストリアの非営利団体「noyb」が公開したデータ保護責任者(以下、DPO)およびGDPRコンプライアンスの分野で働く専門家を対象としたアンケート(アンケート自体は2023年11月に実施)を実施しました。
今回のブログでは、アンケートに関するレポートの内容について紹介します。
ガイドラインの効果
noyb が実施したアンケート結果によると、EUのGDPRに関しては、EDPB(欧州データ保護委員会)や各国のDPAによりガイドラインが提供されていますが、今回のアンケートでは、ソフトローによる対応が機能しているとは言い難い状況のようです。
- EDPB(欧州データ保護委員会)のガイドラインに対しては15.7%の専門家が「何かしら影響力がある」、7.3%が「とても影響力がある」と回答
- 各国のDPAのガイドラインについては、17.7%が「何かしら影響力がある」、7.7%が「とても影響力がある」と回答
執行と企業への影響力
アンケートによると、企業のDPO(回答者)のうち、約70%は、「実際にユーザーのプライバシーを改善するためには、より多くのDPAの執行が必要」と回答しており、企業がコンプライアンスを改善するのに最も影響力のある要素として、以下が挙げられています。
- 自社に対する罰金 67.4%
- 法律遵守命令を含むDPAの決定 61%
- 正式な決定 58%
この結果から、DPOは、コンプライアンスの最大の推進要因として罰金などの制裁や評判の失墜の可能性が影響すると考えていることが分かります。
罰金
回答者の61.5%が、他社(他組織)に対する「高額の罰金」を含めたDPAの決定について自社に影響力があると回答し、他の企業に対する「高額の罰金」を含むDPAの決定であっても自社の自律的な取り組みに影響力があるとする回答者が51.6%でした。
レピュテーションへの影響
さらに回答者の52.1%が、他社に対する評判の失墜につながるDPAのアクションは、自社にとっても影響力があると考えているほか、46%が、評判の失墜につながる他社に対しての決定が、自社の自律的なコンプライアンスの取り組みに影響を与えると回答しています。
DPOの独立性
DPOの職務については、独立して業務を遂行する役割と権限が与えられ、必要に応じて経営層に直接コンタクトすることができ、他のビジネス部門に干渉されずに職務を行うことが求められます。
しかしながら、今回のアンケートでは、事業の利益のためにGDPRの遵守について圧力を受けていることが判明しました。
回答者の46%が営業やマーケティング部門から法令遵守に関して積極的に圧力をかけられていると回答し、32%はシニアエグゼクティブからのプレッシャーを感じていると回答しています。こうした結果では、当然データ保護専門家が利害関係者を説得するのは非常に困難であることは容易に想像でき、56%がマーケティング部門を説得するのが難しいと回答し、38.5%がシニアエグゼクティブと問題をかかえていると回答しています。
ユーザーからのプライバシー権リクエストへの対応
レポートでは、58.9%の企業の回答者が、ユーザー体験について、データ主体(個人)に対する情報提供義務とデータ主体の権利について概ね遵守できていると回答したものの、実際にnoyb がデータアクセス権リクエストを企業に行使したところ、90%以上の企業で期限までに回答が得られなかったほか、リクエストの多くは無視されたことから、現実のユーザー体験とDPO側の認識に大きな差異があると指摘しています。
さいごに
noyb のまとめたアンケートに関するレポートでは、DPOの74%が、監督当局(以下、DPA)が平均的な企業に対してオンサイトで調査を実施すれば、重大な違反を見つけるだろうと回答していることから、DPOの視点からは、組織内での実際の個人情報の取扱いとGDPRの間に大きなギャップがあることが分かります。
また、同レポートからは、DPOがそうしたギャップを認識しつつも、GDPRの遵守を推進する上で、経営層や関係するビジネス部門を説得し、コンプライアンスを推進することが難しいといった課題を同時に抱えていることが分かります。
こうした課題に対して、noyb のアンケート結果が示すとおり、ユーザープライバシーを改善し、法令遵守を維持するためには、監督当局による明確な裁定、すなわち執行が重要なファクターとなります。
プライバシー法規制の遵守を進めるデータ保護組織の担当者にとって、社内や経営層からの協力や予算承認を得る上で、実効性のある罰則を伴う法律はもっとも分かりやすく、取り組みを推進する上で組織に改善を促す動機付けとして十分な理由となります。
自社だけではなく他社も含め、高額な罰金や企業の評判や信頼の失墜につながる、もしくはそうした恐れのある監督当局の決定は、経営層や社内のステークホルダーに分かりやすい形でリスクに対する注意喚起となり、改善を促すことにつながります。
参考:日本での執行に関する民間からの意見
日本でも現在個人情報保護法の見直しが進んでおり、検討の方向性として「検討の方向性② 実効性のある監視・監督の在り方」があげられている点からも、今後何かしらの見直しがなされる可能性があります。
興味のある方は、こちらのブログもご覧ください。
OneTrust は、プライバシー分野でNo.1のソリューションです。
プライバシー法規制の要求事項について包括的に対応している点が人気の理由です。
OneTrustのソリューションに興味がありましたら、
お気軽にお問い合わせください