Last Updated on 2024-05-21 00:35 by 荒木 啓介
アメリカの企業は、データプライバシーに関する法律の改正に備え、ヨーロッパの一般データ保護規則(GDPR)の過ちから学ぶ必要がある。GDPRの導入以前から、EUの企業の三分の一が技術がデータ管理を効果的に行えないことを懸念していた。GDPRの広範な範囲、複雑なリスク評価、厳格な記録保持要件により、企業は平均で130万ユーロを新規則の準備に費やした。
アメリカでは、カリフォルニア州の消費者プライバシー法やバージニア州の消費者データ保護法など、州が国家規制の不在の中でプライバシー法を先導している。今後2年間で8つの州が包括的なプライバシー法を施行する準備ができている。アメリカンプライバシー権利法(APRA)は、GDPRと同様に、企業により強力なデータセキュリティ基準の遵守を義務付け、消費者にターゲット広告のオプトアウトや保持される個人データの最小化を可能にする。
GDPRの経験から、企業はデータ管理インフラの全面的な見直し、従業員のトレーニング不足、適切な支援の求め方を知らないことなどの問題に直面した。2023年1月に発表されたレポートによると、1000人以上のプライバシープロフェッショナルを対象にした調査で、わずか7%がGDPRの任意の章に「ほとんど」完全に準拠していると信じており、平均的な企業では依然として関連する違反が存在すると75%が回答している。
アメリカの企業は、データ保護計画の作成や従業員のトレーニング、重要なデータ責任を自動化するツールやプラットフォームの採用により、規制に先んじて準備することが重要である。
【ニュース解説】
アメリカでは、データプライバシーに関する新たな法律、アメリカンプライバシー権利法(APRA)の提案が進んでいます。これは、ヨーロッパで約8年前に施行された一般データ保護規則(GDPR)に似た強力な規制を設けることを目指しています。GDPRの経験は、企業にとって多くの課題をもたらしました。特に、データ管理の全面的な見直し、従業員のトレーニング不足、適切な支援の求め方を知らないことなどが挙げられます。これらの課題により、多くの企業が完全な準拠を達成することが困難となりました。
アメリカの企業は、GDPRの経験から学び、APRAの施行に備える必要があります。これには、データ保護計画の作成や従業員のトレーニング、データ責任を自動化するツールやプラットフォームの採用が含まれます。特に、データ保護担当者の雇用、従業員への継続的なトレーニング、ゼロトラストセキュリティモデルの実装などが重要です。
このような準備は、単に法規制への準拠を超え、公衆の信頼を維持し、企業のデータプライバシーとセキュリティを強化するためにも不可欠です。また、州ごとに異なるプライバシー法が存在する現状では、連邦レベルでの統一されたアプローチが、企業にとって予測可能性をもたらし、運用の複雑さを軽減するでしょう。
しかし、APRAのような法律が企業に与える影響は大きく、適切な準備と対応が求められます。データプライバシーの重要性が高まる中、企業は消費者の信頼を維持し、法的な要件を満たすために、これらの課題に積極的に取り組む必要があります。長期的には、これらの取り組みが企業の競争力を高め、データプライバシーを重視する文化を醸成することにも繋がるでしょう。
from What American Enterprises Can Learn From Europe's GDPR Mistakes.
