original image: © Jérôme Rommé - Fotolia.com
GDPR施行後の情報漏えいが激増する理由
Why Data Protection Complaints Increase After GDPR
2018.09.30
Updated by Mayumi Tanimoto on September 30, 2018, 06:17 am JST
original image: © Jérôme Rommé - Fotolia.com
Why Data Protection Complaints Increase After GDPR
2018.09.30
Updated by Mayumi Tanimoto on September 30, 2018, 06:17 am JST
GDPR施行されてからしばらくになりますが、英では施行後に大企業における大規模情報漏えいが多発しています。
最も被害がひどかったのはBAで、イギリスの場合、その他に大手ドラッグストアのSuperdrug、大手家電のDixons Carphone, 最大手のチケット販売会社のTicketmasterの大規模な消費者情報の漏洩が目立っています。
イギリスの情報通信関連の規制やセキュリティ問題を取り扱う政府機関であるInformation Comissionrによれば、イギリスの場合、2018年7月に報告された事故件数は、GDPRが導入された5月のなんと4倍になっています。アイルランドの同時期は2倍、フランスは37%増加です。
消費者情報保護の体制を整えている企業が増えているはずなのに、なぜここに来て事故が急増しているんでしょうか?
まずはじめに、GDPRにより事故発生後72時間以内の報告が義務化されたことが原因の一つです。
かつては報告されず、外部に出なかった事故が「見える化」されるようになったために、件数が急激に増加しているわけです。
これまで表に出てこなかった事故が表層化したことは、消費者保護の観点だけではなく、投資家の視点から見てもGDPRの意義はある程度ある、ということでしょう。
情報漏えい事故を防ぐような体制やシステムの有無は、その企業のITガバナンスやIT 自体への投資を「見える化」し、情報に対する真剣度がよくわかります。
企業にとっての負担は大きいわけですが、情報に対する哲学や姿勢の透明化は、企業がこれだけITに依存している現在、経営の健全度を示す指標であるといっても差し支えありません。
二点目に、GDPRが広く一般に報道されるようになったことで、企業だけではなく消費者側が、情報に関する自らの権利を知るようになった、ということです。
GDPRの特に77条は、個人情報に関するデータが不適切に扱われたり情報漏えいが発生した場合に、居住国の監督機関に苦情を記録する権利(the right to lodge a complaint with a supervisory authority)があると述べています。
日本と異なり特に欧州の消費者は自らの権利には大変敏感なのでマスコミ報道でもこの「権利」の部分が大きく報道されており、一般に広く知られるようになりました。
-----------
Art. 77 GDPR
Right to lodge a complaint with a supervisory authority
1.Without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement if the data subject considers that the processing of personal data relating to him or her infringes this Regulation.
2.The supervisory authority with which the complaint has been lodged shall inform the complainant on the progress and the outcome of the complaint including the possibility of a judicial remedy pursuant to Article 78.
GENERAL DATA PROTECTION REGULATION (GDPR)
-----------
認知度が高まったことにより、漏えい事故が起きた場合の報告先も明確になりましたし、企業がとるべき行動も知られるようになりました。
GDPRに関しては企業の負担や不明瞭な点など問題もあるわけですが、消費者が個人情報管理の重要性に気が付き、データ管理を個人の「権利」だと認識し始めたことはかなり重要な変化です。
個人情報は「資産」であり、企業はそれらを使ってビジネスを有利に展開していること、また企業によっては消費者の許可なしに第三者に転売するなどしていたわけですから、一体何が価値のある情報なのか、ということを消費者に啓蒙したということは、思った以上の効果があったように思います。
おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)
登録はこちらNTTデータ経営研究所にてコンサルティング業務に従事後、イタリアに渡る。ローマの国連食糧農業機関(FAO)にて情報通信官として勤務後、英国にて情報通信コンサルティングに従事。現在ロンドン在住。