PwC Globalは2017年10月5日、EU(欧州連合)が2018年5月施行の一般データ保護規則(GDPR)への対応について、「世界から大きく出遅れている日本企業の実態が浮き彫りになった」とする調査結果を公表した。

 調査は、2017年6月に欧州でビジネスを展開している米国、英国、日本のそれぞれ約100社の計約300社に対して実施した。CIO(最高情報責任者)やチーフ・プライバシー・オフィサー(CPO)を担当する役職員からの回答を基にまとめた。日本からは小売りや自動車、テクノロジー企業などの回答が多いという。

EU一般データ保護規則(GDPR)への準備の進行状況
EU一般データ保護規則(GDPR)への準備の進行状況
(出所:PwC)
[画像のクリックで拡大表示]

 GDPR対応の進捗については、米国企業は約22%が対応完了と回答した一方で、日本企業で対応が完了したと回答したのは、わずか2%にとどまった。GDPRが適用される個人データの所在などを調査する「アセスメント」が完了していない企業の割合でも、米国は31%に対し、日本は60%に上る。

 日本企業の半数以上が「GDPR適用までのロードマップを描けていない」と言い、「GDPRによる影響を重大な経営リスクとして捉えていない日本企業の対応の甘さが浮き彫りになった」とする。

 一方、米国や英国では、GDPR対応の早期完了を強調することで競争優位性を得られると認識している企業もある。

 GDPR対応に対する投資額は、アセスメントが完了したとする企業のうち、62%の企業が100万ドル(約1億1200万円)以上、26%が500万ドル(約5億6000万円) 以上を見込んでいるという。

 このうち、日本企業は88%の企業が100万ドル以上、41%は500万ドル以上の投資と回答し、米英企業に比べて割高な結果となった。アセスメントが完了していない60%の日本企業は「2018年5月までに急ピッチで進めるGDPR対応に予期せぬ予算措置を強いられる可能性がある」。

 さらに今回の調査では、日本企業だけがITベンダーにGDPR対応を依存している割合が突出して高いことが分かった。米企業はコンサルティング会社や法律事務所への依存度が高いのに対し、日本企業は85%がITベンダーを利用しているという。

 とりわけ日本企業はGDPR対応で求められるデータのライフサイクル管理が進んでいない。PwCは「ルールの運用を定着させてからGDPRに臨むという米英企業に比べて姿勢の違いがある」(PwC)とした。