「GDPR施行」に間に合わなかった企業が今やるべきこと：現実的なGDPR対策を紹介（2/2 ページ）

一般データ保護規則（GDPR）の罰則は、これまでのどのデータプライバシー規制より厳しい。だが十分な対策ができている企業は、決して多数派ではない。

[Trevor Jones，TechTarget]

GDPR順守のステップ

　GDPR順守の最初のステップは、クラウド環境のGDPRに対するリスク評価だ。これは規制の厳しい業界に属する企業のIT部門にとっては、目新しいことではない。だが、それ以外の企業、特に大手ベンダーのクラウドを使って構築し、急速にグローバルな顧客基盤を築いている新興のPaaS（Platform as a Service）ベンダーやSaaS（Software as a Service）ベンダーは、こうしたリスク評価に慣れていない可能性がある。

　「このようなスタートアップ（創業間もない企業）は開拓者で、野放し状態だ。非常に動きが早く、ほとんど統制されていない。そのため、やや無謀とも思われる環境になっている」。コンサルティング企業Bridgepoint Consultingで、テクノロジーコンサルティング部門のシニアリーダーを務めるマイケル・ジョンソン氏は、こう語る。

　GDPR順守には、体系的な統制だけでなく、サイバーセキュリティが企業内部で不可欠な戦略であることを理解する上層部の姿勢も必要だ。企業は、特権や管理者アクセス権の制限など、簡単にできることから着手する必要がある。