欧州連合(EU)の一般データ保護規則(GDPR)が施行され3年以上が経過した。ドイツ企業の大半は対応を済ませるか、対応に向けた取り組みを行っているが、GDPRに絡んだ判決や監督当局が新たに示す解釈、当局間の解釈のズレに戸惑っている。そんな現状が、同国企業を対象とする情報通信業界連盟(Bitkom)のアンケート調査で浮き彫りになった。
調査は従業員数20人以上の企業502社を対象に行われた。それによると、GDPR対応を完了した企業は前年と同じ20%、「おおむね対応した」は8ポイント増の45%で、全体の65%で対応が進展した段階にある。
対応完了とおおむね対応の合計を企業の規模別でみると、従業員数500人以上では90%、同100~499人でも86%と比較的多かった。一方、20~99人では58%と全体の平均を下回っており、中小企業は対応に苦慮していることがうかがわれる。
GDPRに完全対応できなかった理由を質問したところ、「コロナ禍の発生を受けて他の優先事項があったため」が最も多く、82%に上った。これに「完全対応は不可能なため」が77%、「人材不足」が61%、「裁判所の新しい判決と監督当局の推奨に恒常的に適応しなければならないため」が47%、「EU域外へのデータ移転に際しGDPRの規定に抵触しないかどうかをその都度、検討しなければならないため」が45%で続いた。
「画期的な新プロジェクト」がGDPRでとん挫するケースも多い。その理由として「GDPRの具体的な規定に抵触するため」と答えた企業は全体の76%、「GDPRの規定を明確に解釈できないため」は同86%に達した。
「GDPR対応で最も大きな問題は何ですか」との質問では、「法の不確定性」との回答が最も多く、78%に達した。同回答は19年が68%、20年が74%となっており、年を追うごとに増えている。具体的な問題に対する裁判所の判決や当局の対応を受けて、GDPRの規定の意味が不明確になってきているもようだ。「監督当局の支援不足」との回答も年々増加しており、今回は66%に上った。
GDPRに対応するために当局に支援を求めた企業のうち実際に「支援を受けた」のは29%にとどまった。また、支援に「とても満足した」企業はそのうちの12%、「どちらかと言うと満足した」は19%で、不満足(計66%)を大幅に下回った。Bitkomの役員は「企業はデータ保護で恒常的なストレスにさらされている」と明言した。
個人データをEU域外に移転している企業は全体の51%に上った。移転先国では米国が最も多く、52%だった。2位は英国(35%)、3位はロシア(18%)、4位はインド(13%)、5位は中国(8%)、6位は日本(7%)、7位は韓国(4%)となっている。
個人データをEU域外に移転する理由では、「データをEU域外に移転するクラウドサービスを利用しているため」が85%で最多だった。これに「24時間年中無休のセキュリティサポートといったサービスを全世界で利用しているため」が68%、「データをEU域外に移転するコミュニケーションシステムを利用しているため」が52%で続いた。
「個人データをEU域外で利用できなくなった場合、どのような問題が起きますか」との質問では、「特定の製品・サービスを提供できなくなる」との回答が62%で最も多かった。2位は「EU域外企業との競争で不利になる」(57%)、3位は「コストが上昇する」「グローバルなセキュリティサポートが維持され得なくなる」(ともに54%)だった。