知らなかったではすまされない『GDPR』の目指す個人情報新時代
KNNポール神田です!
2018年5月25日(金)、EU(欧州連合)は『GDPR(一般データ保護規則General Data Protection Regulation)』を施行した。
5月25日以降、いろんなサイトから「個人情報取扱い」の承認ページに突然、案内される承諾することが多くなってきた。そう、それはEUの施行した『GDPR』の影響だからだ。そもそも『GDPR』って、なんなんだ?説明を聞けば聞くほどわからない…。
https://ja.wikipedia.org/wiki/EU一般データ保護規則
EUのGDPRサイト(英語)
そもそも『GDPR』ってなんなんだ?
EU(欧州連合)が施行した『GDPR(一般データ保護規則)』とは、1995年に採択された「EUデータ保護指令」に代わる形で2016年に採択された、新たな「個人データ保護」の法律。2018年5月25日(金)より施行された。
個人のプライバシーの権利の保護と確立を目的としており、個人データを管理および保護する方法を制御するためのさまざまな要件を定めた法律のことだ…と言われてもまったくピンとこない…。
『GDPR』とは、EU流の超絶に厳しい制裁金のある『個人情報保護法』
ざっくりいうと、「GDPRは、EUが2016年に採択した超絶的に厳しい制裁金のある日本の『個人情報保護法』みたいなもの!」それが、正式にこの5月25日にスタートしたのだ(日本の個人情報保護法は2003年に成立し、2005年4月1日に施行された)。
『GDPR』の一番の特徴は、違反時の制裁金が莫大なことを覚えておきたい。この『GDPR』が話題になるのは制裁金が、企業の世界売上の4%もしくは、最大2,000万ユーロ(約26億円)のいずれか高い方。 このいずれか高い方という制裁金の高さがこのGDPRの規則の怖さを物語る。この「GDPR」日本の隠蔽体質のある企業ならば、すぐに抵触してしまいそうなことばかりなのだ。101万人もの年金情報が流出してもお詫びだけですんでしまうどこかの国とは大違いの制裁方式なのだ。
さらに『GDPR』はヨーロッパのEUだけの話しではない!
この『GDPR』はEU域内の個人を守るための規則ではあるが、インバウンドで欧州の人が日本の旅行でサービスを利用しても適応されるのだ。しかも中小企業であっても対象とされる。たとえば、極端な例だが…民泊のエアビーでヨーロッパの人に利用してもらい、そこで知り得たゲスト情報が漏洩した場合も、72時間(3日間)以内に通知しなければ、前年の売上の4%、もしくは最大26億円もの制裁金が、発生するリスクを持つこととなる。
『GDPR』は「個人情報の約款の表示」から「情報漏えい」に対しても非常に厳格に定義されている。しかも、日本の企業間では、悲しいかなまったく認識されていない。さらに、日本の政府も周知することを怠っている放置状態である。野党も「モリカケ問題」よりも、こちらを糾弾すべきなのだ。EU域内のお客さんがインターネットでサービスを利用する場合に「同意」が必要なのだ。もちろん最低でも英語での個人情報利用の「約款」は用意しておかなければならない。しかも、「個人情報の削除」の要求にも答えなければならないのだ。さらに「情報保護責任者」の設置も義務なのだ。政府の『GDPR』のガイドライン設置をうながしたい。
・個人情報の利用にあたって提示する約款は、誰もが理解できる言語で記載されなければならない。
・かつ約款は、簡単にアクセスできるようにしなければならない。
・権利侵害のリスクのある情報漏えい事故の際には、発覚後72時間以内に通知が必要。
・個人情報の主体は、個人情報処理の有無、目的、利用方法等を確認できる権利を有する。
・主体が同意を取り下げた場合等は、個人情報の削除、さらなる流通の中止等を請求できる。
・業務内容によっては、情報保護責任者(Data Protection Officer、DPO)の設置が義務となる。
『GDPR』は、EU圏内に拠点を持つ組織だけでなく、EU圏内の個人に製品・サービスを提供する組織、EU圏内の個人の活動をモニタリングする組織も対象。また企業規模も関係ないため、中小企業であっても対象
すでに、非政府組織noyb.euが、GDPR施行でFacebookやGoogleに対して苦情を申し立てている。デジタル権利保護団体La QuadがGoogleとFacebookに加えて、Apple、Amazon、LinkedInについても苦情を提出
「Android」「WhatsApp」「Instagram」「Skype」「Outlook」に関するものを含む計12件の苦情について支持を集めており、これらは28日には提出していない。
『GDPR』はインターネット広告の歴史の転換点
この『GDPR』はインターネットの歴史の転換点でもある。
もはや、インターネット広告やサービスにおいて、個人情報をベースとしたターゲティング広告やAI分析やビッグデータ化は当たり前である。個人もレコメンドエンジンの便利さと引き換えに、個人の行動から癖にいたるまでを検索窓に煩悩を入力しまくり、特定のSNS情報に「いいね!」を押し、自分の好みを広告主のターゲティングに知らず知らず利用させている。
米国を中心としたITジャイアントの収益のほとんどが、この個人情報をもとに莫大な利益を上げ、時価総額ランキングの上位を占める。そう、今や工場で製品を大量生産することよりも、個人情報をビッグデータ分析し、個人に合わせたインフォメーションを提供する企業の価値の方が高いからだ。そう、ITジャイアントの前では、みんな裸にされているといっても過言ではない。
その反面、Facebookの個人情報を利用し、選挙コンサルティング企業「ケンブリッジ・アナリティカ社」が不正利用した疑惑も浮上し、性格診断アプリの情報が利用されたりする危険性が露呈した。また、ソーシャルメディアのサービスが無料で利用できる意味をしっかりと理解した上で同意する必要がある。
『GDPR』の施行を新たなビジネス源として恐怖を煽るIT企業やベンダーもいるだろうが、EU側もパブリシティとして、巨額の制裁金を打ち出す措置をとることが容易に想像できるだろう。それからあわてて騒ぎ出すのではなく、事前に『GDPR』に遵守した個人情報保護体制は日本においても用意しておくべきだ。
対岸の火事としてではなく、最低限、外国人(EU域内に限らず)に対しての「プライバシー保護の英語約款」と、「プライバシー情報の削除システム」、情報漏えいに対して「72時間以内の報告体制」のスキームは用意しておくべきなのである。
英語の個人情報保護約款は、総務省、経済産業省、外務省らの省庁が個人情報約款のベーシック案を作り、そのレベルをレイヤー分けし、サービス提供者に誓約させるだけでも、『GDPR』の対応レイヤーを簡易化できると思う。政府が策定した約款のレイヤーに準拠させたほうが、個別バラバラの個人情報約款を読んで承諾ボタンを押すよりも、よほど個人情報保護になると思うのだが…。
