57% 的企業高階主管試圖迴避 GDPR 的責任

42% 的企業不曉得電子郵件行銷資料庫中即含有個人身分識別資訊 (PII)

22% 的企業表示即使違反規定被發現，他們也「不太在意罰鍰」

隨著歐盟「通用資料保護法規」(GDPR) 即將於 2018 年 5 月 25 日上路，全球企業皆應開始預做準備。然而，根據全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 最新的一項針對美國及歐洲共11個國家的研究調查發現，企業高階主管並未認真看待這項法規，使得他們太過相信自己應該能夠符合法規。

對於 GDPR 的認知

趨勢科技研究顯示，企業對於 GDPR 背後的原則都有相當程度的認知：95% 的企業領導人知道他們必須符合這項法規，85% 已閱讀過相關規定。此外，79% 的企業對自己的資料保護措施相當有信心。然而 Gartner Inc. 預測，有超過 50% 的企業將無法在 2018 年5月25 日百分之百達到 GDPR 的要求。根據該機構的建議，企業應該現在就開始預做準備，並且將重點擺在五項最重要的變革。

儘管大多數企業都已意識到這項法規即將上路，但對於法規中要求保護的「個人身分識別資訊」(Personally Identifiable Information，PII) 仍舊不清楚其確切內涵。在所有受訪者當中，有 64% 的人不曉得客戶的出生日期也算是 PII，另有 42% 的人認為電子郵件行銷資料庫不算 PII。此外，也有 32% 的人認為住址不是 PII，有 21% 的人認為客戶電子郵件地址不是 PII。這些結果都明確顯示企業並未真正做好準備，也不像他們自己所想的可以高枕無憂。但不論如何，駭客只需這些資料就能從事各種身分冒用詐騙，而任何未妥善保護這類資訊的企業都將陷入危險並面臨罰鍰。

違規的代價

根據這份調查，有高達 66% 的受訪者對於可能面臨的罰鍰絲毫不擔心，所以並未做好必要的資安防護。僅有 33% 的人知道他們可能面臨高達公司年營業額 4% 的罰鍰。此外，66% 的企業認為商譽及品牌損失是資料外洩事件當中最大的損害，46% 的受訪者認為影響最大的應該是現有客戶。這樣的心態實在令人擔憂，因為企業甚至可能因為資料外洩而被迫倒閉。

趨勢科技資安研究副總裁 Rik Ferguson 指出：「投資一套尖端防護技術並落實資料保護政策，應被視為一項聰明的商業作法，而非營運上的負擔。我們身為企業的資安戰略夥伴，有責任協助客戶達成 GDPR 的資料保護要求。」

權責歸屬

趨勢科技也發現，企業並不清楚當一家美國的服務供應商發生企業客戶的歐盟 (EU) 資料外洩時，誰該負起責任。僅有 14% 的受訪者能正確答出：當發生資料外洩時，供應商和企業客戶雙方都有責任。其他 51% 的受訪者認為應該處罰持有歐盟 (EU) 資料的企業客戶，24% 則認為應該處罰美國的服務供應商。

此外，企業也不確定誰應負起確保法規遵循的責任。有 31% 的受訪者認為執行長 (CEO) 應該負責帶領企業遵循 GDPR 法規，另有 27% 認為資安長 (CISO) 及其資安團隊應該負起領導的責任。但這些企業當中卻僅有 21% 確實設置了一位高階主管來負責 GDPR 事務。目前，65% 的企業都是交由 IT 部門來處理，而且僅有 22% 的企業有董事會成員或高階管理階層參與其中。

技術要求

隨著資安威脅日益精密，企業通常缺乏必要的專業能力來與之抗衡，並且企業需要的是多層式資料防護技術。根據 GDPR 的要求，企業必須根據其所面臨的威脅而建置相關的尖端技術。儘管如此，僅有 34% 的企業已建置尖端防禦來偵測入侵者，33% 的企業已經投入資料外洩防護技術，31% 已經採用資料加密技術。

趨勢科技一直致力協助客戶達成 GDPR 法規要求，最重要的就是跨世代的 XGen™ 防護技術，它能保護企業所有角落的個人資料。這套解決方案是專為所有可能儲存資料的環境而最佳化，不論是實體、虛擬、雲端或是容器式環境。XGen 既是一項策略，也是一套平台，它涵蓋了趨勢科技的所有解決方案，藉由環環相扣的防護在資料外洩發生的當下提供警示與報表。這套方法能讓企業擁有 GDPR 所要求的尖端技術。

研究報告

如需有關趨勢科技研究的進一步資訊，或是想了解企業領導人對於 GDPR 的看法，請參閱我們的圖文解說和相關的部落格文章。這份報告是趨勢科技與 Opinium 合作，在 2017 年 5 月 22 日至 6 月 28 日期間調查 1,132 位線上受訪者所得到的結果。受訪對象為員工 500 人以上的企業 IT 決策者，涵蓋：美國、英國、法國、義大利、西班牙、荷蘭、德國、波蘭、瑞典、奧地利、瑞士等 11 個國家。受訪者皆為高階經理人、資深主管，或中階主管，其所屬產業包括：零售、金融服務、公家機關、媒體與營造等等。