GDPRという画期的な規制は、世界中の企業がEU市民の個人情報を収集・使用する方法に関して、意識を変えるきっかけとなった。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
2018年5月25日のことだったが、28あったEU加盟国(当時)にある多くの企業(EU外のいくつかの企業も)にとっては、混乱の1日となった。
その日までに、各企業は顧客や取引先に対して数え切れないのほどのメールを送り、メールマガジンの受信について許可を求めてきたが、それはこれまで必要とされなかったものだ。同時に、専任の担当者を置いていない多くの企業では、実際に、どのような顧客データを保有しているのか、そしてそれをどのように整理して保護しなければならないのかを把握・検討しようとしていた。
何が変わったのか
GDPR(一般データ保護規則)が適用されたその日、EU市民の情報を収集・処理・保存するEU内外の企業によって扱われる個人情報に関する意識が大きく変わった。
4年が経過した2022年現在、EUの消費者は、Webサイトの利用規約(実際のところ、利用規約はあまり読まれることはない)にある「承諾」あるいは「同意」ボタンをクリックする際に、企業側がこの規約を遵守することを期待しており、また、規制当局が規制の適用を監視することも期待している。
GDPRは具体的に何を定めたのか
GDPR以前は、どのような顧客データを企業が保有しているのかを誰も知る術はなかった。Facebookは、ユーザーの氏名・電話番号・メールだけを保存していたのだろうか? Googleは検索履歴を保持していたのか? Netflixは視聴履歴から何を得ていたのか? これらの企業は得られた知見をどのように利用していたのだろうか?
以下に、GDPRが定めたこと、もたらした影響について整理した。
1)上記の質問に答えるため、GDPRは広範な収集データを対象とした
- 個人を特定する基本情報。氏名、住所、ID番号、信仰、政治的信条、人種、性的指向
- 健康に関する情報。健康状態、血液検査、新型コロナワクチン接種状況など
- 通信に関する情報。位置情報、IPアドレス、インターネット利用履歴、電話、テキストメッセージ
- 銀行口座、購入履歴、アプリの使用状況や、そのほかのデータ
2)企業は、市民が有する8つの権利に配慮する必要があると定めた
- データが収集され、どのくらいの期間使用され、どのように共有されるのかを知る権利。この情報は、理解しやすく、アクセスしやすい文書で提供される必要がある
- 企業によって処理された、すべてのデータとデータが収集された理由、および、どこから収集されたかについてアクセスする権利
- データの一部が不完全、または誤っているときに訂正する権利
- データが不要になった、あるいは、不当に処理されていた場合、企業に与えたデータ利用に対する同意をいつでも取り下げるよう依頼し、忘れられる権利
- データ削除の代わりとして、処理を制限する権利。ユーザーは特定の目的に対してデータを使用しないよう依頼する。例えば、配信プラットフォームにおいて、コンテンツのパーソナライズにデータの使用を許可するが、マーケティング施策には許可しないなどと制限することができる
- さらなるデータ処理に対して、異議を唱える権利
- データポータビリティの権利。ユーザーは、ある企業によって収集されたデータを別の企業に移すことができる。つまり、ユーザーのデータは、ユーザー自身のものであること。必要なときに、いつでも取り出せる
- 行動、信条、そのほかの情報によって決定される特性を含んだデータによって、プロファイリングされない権利
3)世界的な影響を与えた
GDPRは、EUを拠点とした企業に対してのみ大きな変化を与えたと考える人もいるかもしれないが、その影響は遥かに大きい。GDPRはEU内で商品やサービスを提供するか、EU域内に住む市民のデータを処理するすべての企業に適用される。さらに、EU市民のデータは、同様のプライバシー規制を持った国にのみ移転(および使用)が可能とされる。
世界三大経済圏の1つであるEUは、27の加盟国のいずれかで運用される最低限の基準としてGDPRを適用するよう、あらゆる方面から投資を進めてきた。企業が必要な規則を遵守するよう、世界中のデータ保護規制当局が、自国の規制を修正するに至ったのは驚くことではない。
このような動きは、カナダ、アルゼンチン、ブラジル、ウルグアイ、日本、ニュージーランドで見られ、最近では韓国も続いた。実際、カナダのPIREDAは2001年に施行され、EU法はその精神を多く引き継いでいる。基本的な立法原則として説明責任に重きを置いているのは共通だが、本質的な違いが1つだけある。カナダの規制とは異なり、GDPRは法人だけでなく、政府機関も対象としたのだ。
一方、米国の状況はより複雑だ。連邦政府レベルでは、異なる法律が特定の領域を規制している。健康に関するHIPAA、信用評価に関わるFCRA、教育に関するFERPA、ローンや投資データにまつわるGLBA、通信の監視に関するECPA、13歳未満の児童に関するデータ処理を制限するCOPPA、VHSレンタル記録に関するVPPA、各プライバシー規制を遵守することを確認するFTC法などが挙げられる。包括的なプライバシー規制を施行した、あるいは、2023年に施行するのは5州に過ぎない。カリフォルニア州(CCPAと、その更新されたCPRA)、コロラド州(ColoPa)、バージニア州(VCDPA)、コネチカット州(CTDPA)、そしてユタ州(UCPA)である。
4)情報漏えいが発生した場合、発見から72時間以内に報告する義務が定められた
GDPRによって導入された大きな変化の1つに、情報漏えいの発覚から、わずか3日以内に報告する義務が企業に課されたことが挙げられる。これとは対照的に、今までのところ、情報漏えいの報告に関して米国で最も厳しい規制は30日だった。
この要件により、企業は情報漏えいに対処するための計画策定を積極的に進めるようになった。報告に必要以上の時間をかけて、世間の批判を回避しようという動きとは対照的だ。情報漏えいが頻繁に発生する昨今、市民が適切な行動を起こせるよう、データ侵害の状況を知る必要があるのだ。
5)ルールが遵守されていない場合の罰金を定めた
GDPRは拘束力のない形式的な定めではなかった。GDPRが施行され、2022年5月23日時点での違反件数は1,093件に上り、罰金は総額で16億3,000万ユーロ(17億4,000万ドル、2,310億円相当)に達した。大きな「法的措置」は世界的なニュースとなり、大手テック企業の事業にも影響を与えている。
2021年、アマゾン社には7億4,600万ユーロ(8億6,500万ドル、1,060億円相当)の罰金が科された。十分な同意を得ずにターゲティング広告を行ったとして、これまでで最高額の罰金となっている。1万人の嘆願書を集めたフランスの団体La Quadrature du Netの申し立てを受けて、Amazon社が本拠を置くルクセンブルク当局で決定は下された。また、2021年にはグーグル社が、クッキーの使用を拒否する明確な選択肢をフランス在住者に与えなかったとして、9,000万ユーロ(1億200万ドル、127億円相当)の罰金が科されている。(クッキーはeプライバシー法によって部分的に規制されているが、データの同意に関することからGDPRも適用される)グーグル社のアイルランド法人やフェイスブック社も、同様の理由で罰金が科された。
ほかにも、衣料品大手H&M社、ブリティッシュエアウェイズ社、さらにはオランダの税務・関税当局にも罰金が科され、データ保護の仕組みを導入することとなった。
あなたのデータを管理するのは、あなた自身である
これは近年、多くの企業によって発信されている共通したメッセージだ。この一文は、ユーザー自身に力を与えるものであり、企業がデータ保護やプライバシーの規制を遵守していることを示している。
GDPRが、ユーザーのデータを保護するのに重要な第一歩となったのは確かだ。しかし、この規制が施行されただけで、データ収集が必要かどうか疑問に思うのを止めるべきではない。ユーザーが何をして、どこに行き、何を着ているのかといった多くの情報を企業が知る必要があるのだろうか? 特定のデータ使用に関して同意しなかった場合、どのような代替手段があるのだろうか? 代わりのサービスを見つけることは可能なのか?
加えて、多くのサービスやアプリが、個人情報を提供する代わりに無料での利用を認めている。では、サブスクリプション料金による収益を上回るほど意味のある個人情報の真の価値とは、どれほどのものになるのだろうか?
遅かれ早かれ、このような議論を突き詰めなければならないのは確かだろう。