ここ最近、オンラインショッピングをしたことがある会社などからメールボックスにGDPR「EU一般データ保護規制」(General Data Protection Regulation)についてのメッセージがたくさん届いています。EUが個人データを保護するために導入する規制が2018年5月25日から施行されるからでしょう。ここ数年そのための対応で日本も含め世界中の企業が対応策を練っていたものですが、それについて簡単にご紹介します。
Contents
GDPRとは
GDPRとは英語の「General Data Protection Regulation」の略語です。
和訳すると「EU一般データ保護規制」ということになります。日本でいうと個人情報保護法のようなものですね。
自らの情報を安全に守るために個人に強い権利を与えるためにEUが世界に先駆けて導入するものです。
EU議会はその加盟メンバー28ヶ国の承認を得てGDPRを2016年5月24日に発行しました。その適用は2年間の移行期間を経て、2018年5月25日からとなるのです。
この規制はEU内のすべての個人データを保護するためのもので、EU市民に関する個人情報を扱うすべての企業(外国の企業も含む)に適用されます。
その目的はEU市民や居住者が自分の個人データをコントロールする権利を取り戻すこと、またEU内の規則を統合することで、国際的なビジネスのための規制環境を統一することです。
GDPRの違反者には多額な制裁金と行政罰を伴います。たとえば20,000,000ユーロ(約25億円)あるいは全世界の売上高4%という処罰が課され得るとされているのです。
適用範囲
GDPRはデータ管理者、処理者、またはデータを所有する個人がEU域内に拠点を置く場合に適用されます。
だから、ヨーロッパ以外には関係ないことだと思っている人がいるかもしれませんが、情報がグローバルに移動する今、そうもいきません。
この規制はEU居住者の個人データを収集または処理する場合、EU域外に拠点をおく組織にも適用されるのです。
EUから遠く離れたアメリカや日本でも、例えばインターネットでEU圏に商品やサービスを提供している場合などに適用されます。
なので、日本企業にも影響するし、サービスの受け手である個人についても様々な影響があります。
適用される組織は規模に関係なく零細、中小企業すべて対象となります。ただし個人データ処理記録を補完する義務については被雇用者250名未満の組織には免除されます。
個人データとは
GDPRが定義する個人データは「個人に関するあらゆる情報」で広範にわたります。
たとえば、氏名、住所、写真、メールアドレス、コンピューターのIPアドレス、銀行口座の詳細、SNSへの書き込み、医療情報など。
このような個人情報を収集するとき、本来の目的に必要な期間を超えて保持してはならないとされます。
同意(オプトイン)
データの収集及び利用目的については同意(オプトイン)が明示的に行われなければならないとしています。
たとえば、受取人の明確な同意なしにメールを送ったりできないということです。
それで、最近これまでにショッピングをしたりサービスの提供を受けた会社から続々とメールが来ているのですね。数週間前からこういうメールは来ていましたが、多くの会社は駆け込みでGDPR施行の直前に送ってくるものだからINボックスが同じような文面のメールであふれています。
そのメールは「オプトインしてください。そうでない場合はもう同社からのメルマガが届かなくなります。」と言うような内容です。
これまで何となくメルマガを受け取り続けてきた会社も多いので、断捨離するのにいいチャンスだと思っています。けれども、情報をずっと受け取っていたい会社もあるだろうからその確認にちょっと時間を要しそうです。
GDPR施行後は、企業や組織はサービスなどのユーザー登録画面でプライバシーポリシーへの同意をユーザーにチェックしてもらう必要があります。
また、データ管理者はこの同意(オプトイン)を証明する義務も発生するのです。
さらに、未成年児に対する同意は保護者が与えなければならないとされています。たとえば、子供がスマホでゲームをする場合などゲーム会社が子供の個人情報を管理する場合、保護者の同意が必要だし、その管理も厳重にしなければならないということになります。
日本企業の対応
GDPRは活動の拠点に関わらず、EU市民の個人情報がすべて対象になります。そのため、日本企業でも国外からの顧客やユーザー登録を許可する場合、EUからの参加が予想され、それが対象となります。EU市民の個人情報を日本へ移転する場合、本人からの明示的な同意を得たり、特別な条項を締結する必要があります。
たとえば、これまで日本の組織や企業がEU市民にメルマガを送っていた場合、メールマガジンのオプトインを確認するために、個人情報更新を促すメールを送る必要があるでしょう。
日本企業の中でも対応に自信がないところはEUからのアクセスを遮断するという動きもあるようです。たとえば5ちゃんねる(旧2ちゃんねる)はGDPR対策のため、EUからのアクセスを遮断することにしたとの発表がありました。
GDPRが国際スタンダードとなるか
EUがGDPRの導入を検討していた当初、米国のIT企業や批評家はIT先進国である米国に対する嫉妬から生じた保護主義だと否定的にみていたふしがあります。
フェイスブックのマーク・ザッカーバーグは2010年に「ユーザーは快く情報を共有するようになっており、プライバシーは社会規範ではなくなってきている。」と述べています。また「プライバシーはもう死んでるんだ、あきらめろよ。」とも。
けれども最近のケンブリッジ・アナリティカによるデータ流出問題でフェイスブックの個人データの扱いに関して世界中のフェイスブックユーザーの反発があり、ザッカーバーグが謝罪に追い込まれたことはまだ記憶に新しいですね。
個人のデータを収集して巨大な利益を得ているのはフェイスブックだけでなくグーグルやアマゾンなどの企業も同様です。EUでは個人データの扱いに関して、最近フェイスブックやグーグルなどのIT大企業へ厳しい対応をしています。
おまけにフェイスブックの国際事業本部はEUメンバー国であるアイルランドにあります。世界中のデータを処理している部門をアイルランドに置いたのは当時(2008年)アイルランドの保護規制が緩く、同国は国際企業にとって魅力的な移転先だったからです。けれどもGDPRが適用されることによって、フェイスブックの国際データはGDPRによる厳しい規制に管理されることになるのです。
ザッカーバーグが「プライバシーは社会規範ではなくなってきている。」と語ったころに比べると、国際的な世論はずいぶん変わってきました。プライバシーをあきらめるどころか、私たちは個人情報の取り扱いや流出について以前よりもずっと敏感になっています。
ケンブリッジ・アナリティカがフェイスブックのデータを使用して選挙キャンペーンを行った問題などが露出したことがこの流れに拍車をかけたことは間違いないでしょう。
EUのGDPRは当初、「厳しすぎる」とか「悪法」とか批判されてきた経過もありますが、長い準備期間を経て施行されることになった今の段階では、世の中の流れに沿っているという気がします。
これからは、EUのGDPRが世界標準になっていくということも予想されます。他の国々でもこの制度をまねて同じようなデータ保護規制を導入していくようになるかもしれません。
グローバルな企業は自らこの規制に合わせてデータ保護規制を整えていくでしょう。すでにGoogleやTwitterなどはGDPRに対応するために利用規約やプライバシーポリシーを改定すると発表しています。
各国の政府も、より厳しく安全な個人情報保護を求める国民の要望に応えて、GDPRと同様の規制を導入することも考えられます。
インターネットを使用する上で個人情報を否が応でも提供しなければならない個人としては、歓迎すべきことだと思います。