GDPRが始まってからそろそろ5ヶ月になりますが、まだまだ世間一般ではその内容が十分に理解されるような伝え方がされているとは言えないようです。

企業に関しては事前に準備を開始していたところも多いのですが、できていないところと対応しすぎている所の差が明確になってきているようです。

英国のThe Information Commissioner’s Office (ICO)は、企業の情報漏えいがあった場合に報告を受領する窓口になっていますが、GDPRが始まって以来、週に500件の報告を受けています。

しかしポイントは、その半分以上がGDPR違反ではなく、企業側がGDPRを十分理解していなかったり、「念の為」に報告しているケースだということです。

GDPRの内容自体を理解していない組織が多い半面、 注意深い企業の場合は過剰反応してしまっているっていうのが実態です。

さらにICOによれば、本年度に関しては、巨額の罰金が発生するケースというのはほとんどなく、多くの場合はごく少額の罰金か、注意、勧告、提言にとどまるケースが多く、規制当局側もGDPRを曲解したり、恐ろしく厳密に適用しているわけではなく、企業の自助努力を評価しており、思ったよりもバランスの取れた運用が行われているようです。

GDPR開始前は、企業が倒産するような罰金が多数発生し、かなり大変なことになるのではないかと思われていたGDPRですが、実際は思ったよりも常識的に運用されているようです。

これは規制というものを考えた場合の良い例かもしれません。

規制というのは、実際に対象者を罰するために作ることもありますし、当事者の注意や問題行動の未然の防止をするために「脅し」という意味合いで実装することもあります。

多くの規制は後者に属することが多いわけですが、GDPRの実際の運用というのは、「注意を喚起し行動を統制する」という意味で、内部統制ガバナンスの参考になるでしょう。