米企業のプライバシー管理:お粗末な CCPA/CPRA/GDPR コンプライアンス対応

Companies poorly prepared to meet CCPA, CPRA and GDPR compliance requirements

2022/04/29 HelpNetSecurity — California Consumer Privacy Act (CCPA) および、California Privacy Rights Act (CPRA)、EU の General Data Protection Regulation (GDPR) への各企業の対応状況について、CYTRIO が 2022年 Q1 に行った独自調査の結果が発表された。2022年3月31日の時点において 90% の企業が、CCPA/CPRA の Data Subject Access Request (DSAR) 要件に対して、完全に準拠していないことが調査結果で明らかになった。さらに、95% の企業が、GDPR の DSAR の要件に対して、エラーの起こりやすい、時間のかかる手動プロセスを使用していることが分かった。

CCPA CPRA GDPR readiness

CYTRIO の CEO である Vijay Basani は、「当社の継続的な調査により、第一世代のプライバシー権管理ソリューションは、コストと導入の複雑さのために広く採用されていない。その結果として、CCPA 非準拠の割合が高いことが確認されている」と述べている。

さらに彼は、「この問題は、2023年に CPRA が施行され、12カ月間のルックバックが行われるようになると、より顕著になると思われる。消費者のデータ・プライバシー権に対する意識とデータ・アグリゲータの台頭により、データ・リクエストの数が増加している。California Privacy Protection Agency (CPPA) が CCPA と CPRA の積極的な施行を開始したことで、DSAR の要求に従わない中堅/大企業に法外なコストが生じるだろう」と付け加えている。

この調査では、わずか 11% の企業のみが、CCPA の要件を完全に満たしており、89% の企業が非準拠または部分準拠という状況にあることが明らかになった。2022年1月〜3月に CYTRIO は、CCPAと GDPR DSAR への準拠について 1,570社を調査し、現在までに合計で 6,745社を調査している。

この最新の調査では、自動化された CCPA DSAR 管理ソリューションを導入している企業は、わずか 10% に留まっている。さらに、あらゆる規模の B2B/B2C 企業が、CCPA コンプライアンスに対して十分な準備をしていない。つまり、2018年5月に施行され、2022年3月時点で $1.8 billion の罰金が課される規制にもかかわらず、GDPR コンプライアンスに対して不十分な対応であることが分かる。

2021年 Q1 から2022年 Q1 にかけて、最もコンプライアンスの高い Top-3 の業種は、以前と同様にビジネスサービス/小売/金融であり。それだけで調査対象企業の 54% を占めている。また、最もコンプライアンスが高い州 Top-3 (カリフォルニア州/ニューヨーク州/テキサス州) も変わらないが、調査対象に占める割合は 31% から 25% へと減少しており、他の州も追いついてきているようだ。

先月に、ユタ州では消費者プライバシー州法が成立し、カリフォルニア/コロラド/バージニア州に続いて、米国で4番目のプライバシー法制定へと近づいた。現在、アラスカ/ハワイ/マサチューセッツ/ニューヨーク/ペンシルバニア/ワシントン/ウィスコンシン/ニュージャージーを含む 22 の州で、消費者プライバシーに関する法律が審議中である。

この調査における重要な観察点は、データ・アグリゲーターからの DSAR は頻度と量が増加しており、削除権 (Erasure) の要求が大きな割合を占めているようだ。コンプライアンスを遵守するためには、これらの要求に対して、企業はタイムリーに対応しなければならない。

タイトルは米企業としてしまいましたが、実際はカリフォルニアの企業を対象とした調査の結果とのことです。この記事の元データとなる、CYTRIO の CCPA & GDPR Research Report Q1 2022 ですが、ダウンロードしてみたら 14ページほどの簡潔なレポートで、しかもチャートが多用されているので、CCPA と GDPR への対応度が、一目で分かる形になっています。大変だけども大切なプライバシー保護ですが、日本で同様の調査を行ったら、どんな結果になるのかと思ってしまいます。よろしければ、カテゴリ Privacy も、ご参照ください。

%d bloggers like this: