Photo By Shutterstock
個人情報管理の新たな世界的指針になると言われる、EUの「一般データ保護規則(GDPR:General Data Protection Regulation)」が、2018年5月25日、ついに施行された。だが、日本の企業や行政機関の反応は鈍く、認知や理解は残念ながらあまり進んでいない。
文:伊藤僑
いまだに進まない日本企業の認知や理解
施行直前の17日にトレンドマイクロが発表した、GDPRの認知度・理解度に関する調査の結果をみても、GDPRの内容について「十分理解している」と答えているのはわずか10%に過ぎず、「ある程度理解している」を加えても35%に満たない状況だ。
GDPRの認知度・理解度(出典:トレンドマイクロ)
同調査の対象となったのは、国内の企業や官公庁において、情報システム、リスク管理、法務、経営企画の各分野において主任以上の役職に就いている意思決定者・関与者998名だという。本来は関心を持っているはずのポジションなのだが、GDPRの内容どころか、規則の存在すら知らないという人が4割近くいたことに驚かされる。
GDPRは、欧州経済地域(EEA)参加国の個人情報を扱うすべての法人組織が対象となる。ヨーロッパ内に拠点を置いていない場合でも対象になるので注意が必要だ。今回の調査でも573名(57.4%)がEEA参加国の個人情報を扱っていた(今後扱う予定がある者を加えると637名)。
これらの企業で情報漏洩事故が発生し、もし過失があった場合には、全世界における売上高の4%、あるいは2000万ユーロ(約26億円)の制裁金や、個人情報の利用停止措置が課せられることになる。大幅に罰則が強化されているのだ。信用を失うことで、株価の下落や顧客の離反を招くことも覚悟しなければならないだろう。
にもかかわらず、GDPRの対象となる者の52%は、GDPRの「存在自体知らない」、あるいは「名前しか知らない」と回答している。GDPRを理解していても、対応を完了しているのは、そのうちわずか10%に過ぎなかった。
なぜ、ここまで関心が低いのだろうか。
FacebookとGoogleが提訴される
GDPRが施行されたとたんに気になるニュースが飛び込んできた。さっそくFacebook(Instagram、WhatsApp含む3件)とGoogle(Android)が提訴されたのだ。
訴状を提出したマックス・シュレムス氏(オーストリアの弁護士)は、これらの企業は「ユーザーの個人情報を使い続けるために、ユーザーに同意を強制する戦略をとっている」と主張する。
同氏は、過去にも複数回Facebookを提訴したことがあり、GDPRの発効に合わせ非営利のデジタル人権団体「noyb」を設立した。GDPRでは、個人消費者の権利を守るために、noybのような非営利団体が個人を代表して訴訟を行うことを認める方針をとっているのだ。
Facebook創設者のマーク・ザッカーバーグ氏は、5月22日に行われた欧州議会との会合で、世間を騒がせた個人情報流出問題について謝罪し、GDPRの遵守を約束したばかり。4月18日には、GDPR遵守の一環としてFacebookは、プライバシー保護に関する新たな取り組みも発表しているのだが……。
今後も訴訟の動向を注視していきたい。
訴訟リスクに備えて守りを固める
GDPR関連で訴訟が取りざたされている案件の中には、日本にも関係の深いゲームアプリ「Pokemon GO」も含まれているようだ。リアルタイムに行われているユーザーの位置情報の収集によって得られたデータの扱いについて、プライバシー侵害等の懸念があるという。
このような訴訟リスクにさらされることを恐れ、十分な対応を終えるまでは欧州におけるビジネスの展開を休止する動きも出てきた。
ロサンゼルス・タイムスなど米ニュースサイトの一部が、現在欧州で閲覧できなくなっているのは、GDPRへの対応が間に合っていないためとみられる。
GDPR対策のために、重要度の高くないデータを破棄するところも出てきている。厳格なルールに従って個人情報管理をしていくためには、データ量は少ない方がいいからだ。
とはいえ、ビッグデータの活用がビジネスの成否を分けるといわれる状況下にあって、せっかく収集したデータを大幅に減量せねばならないのだから悩ましい。
日本企業も他人ごとでは済まない
5月25日のGDPR施行を報せるEUのニュースページ
実際に判例が積み重なっていかないと、厳密なGDPR対策を行うことは難しいだろう。しかし、だからといって、他人ごとだと傍観しているわけにもいかない。ビジネスのグローバル化が進展する中で、日本企業が突然矢面に立たされるかもしれないのだ。
工業製品や先端技術などの産業関連情報を求める人、食文化や工芸品、マンガなど日本ならではの文化に惹かれる人、実際に日本の良さを味わいたくて旅行を計画している人……。
2020年の東京オリンピック開催に向けて、日本への関心はますます高まっていくことだろう。日本企業と欧州に住む人たちとの交流も、さらに深まっていくことが期待されている。
これを好機と捉え、GDPRへの対応も積極的に進めていくべきではないだろうか。
(参考)
トレンドマイクロ・セキュリティブログ「知らないとマズい - 最大約 26 億円の制裁金や個人情報利用停止措置を伴うGDPR施行まであと一週間」
bbc.com「Google and Facebook accused of breaking GDPR laws」
money.cnn.com「LA Times takes down website in Europe as privacy rules bite」