2018年5月28日月曜日

グーグルも恐れる個人情報規制「GDPR」とは?日本企業も他人事ではない

 5月25日、欧州発の個人データ保護に関わる新しい法規制、GDPR(一般データ保護規則)が施行されました。多くの日本企業が適用の対象になり、違反すれば最高で数十億円以上の巨額の制裁金が科せられます。ところが、日本企業の対策は周回遅れの状況です。

 「欧州が、米国のグーグルやフェイスブックと、"一戦"を交える覚悟を決めたということ」──。

 個人データ保護に詳しいある識者は、欧州連合(EU)が5月25日に施行した「一般データ保護規則(General Data Protection Regulation:GDPR)」の真の狙いをそう指摘する。

 GDPRとは、1995年に採択された「EUデータ保護指令」に代わる形で2016年に採択された、新たな個人データ保護の法律だ。EU加盟国に欧州3ヵ国を加えたEEA(欧州経済領域)域内31ヵ国に所在する、全ての個人データの保護を基本的人権と位置付けて、大幅な規制強化が図られた。

 GDPRは、個人の名前や住所などはもちろん、IPアドレスやクッキーといった、インターネットにおける情報までも網羅的に「個人データ」に含め、その処理(収集や保管)に類を見ない厳格な順守を求めている。個人データのEEA"域外"への持ち出しは原則禁止。そして、違反者には最高で、世界売上高の4%か2000万ユーロ(約26億円)のうち、いずれか高い方という超巨額の制裁金が科せられる。

 制裁金の額と合わせ、世界中の企業を震え上がらせているのは、この法律がその事業規模や本社が所在する国・地域に関係なく、EEA域内の個人データを処理するほぼ全ての組織に及ぶという点だ。

 EEA域内の個人データを処理しているのは、何も欧州の人々を相手に直接サービスを提供する宿泊・観光や運輸、ECなどの企業、現地に子会社や工場を持つグローバル企業だけではない。

 デジタル広告、IoT家電、次世代自動車のコネクテッドカー、建設機械のトラッキングシステム、ユーザーの位置情報を利用する「ポケモンGO」をはじめとするオンラインゲームなど、個人のオンライン上の行動を「監視」することを前提としたサービスで、商売が成り立っている企業は枚挙にいとまがない。およそ現代において、GDPRの適用を完全に免れ得る企業は、少ないと言えよう。

 そして、その影響を受ける最たる存在が、グーグルやフェイスブックといった米国のITジャイアントである。その巨人たちがここにきて一転、個人データ保護対策に向けてかじを切っている。

 その理由は、政治コンサルティング会社、英ケンブリッジ・アナリティカによるフェイスブックの個人データ流用事件が象徴するように、彼らがこれまで"狡猾"に集めた世界中の個人データで荒稼ぎしていることへの批判が、急激に高まっているからだ。GDPRは、米国のIT企業に歯止めをかけようという欧州が打ち込んだ最大のくさびとなる。実際、ケンブリッジ・アナリティカ事件の発覚がGDPR施行後であったならば、フェイスブックは全世界売上高の4%、1700億円の制裁金を科せられていただろうという見立ては、識者の間で少なくない。

 そんな欧米の個人データ保護をめぐる価値観のせめぎ合いに、ある意味で、巻き込まれた格好となっているのが日本だ。GDPRの施行が近づくにつれ、事の重大さに遅まきながら気付いた企業が今、GDPR対応を請け負うコンサルティング会社や弁護士の元に殺到している。

 一方で、多額のコンサル料を払えない中小企業には、後ろ向きの対応を選ぶところも出始めている。

 「欧州からの客は、今後お断りするかもしれない」

 インバウンド需要に沸き、欧州観光客の間でも人気が高い関西の有名老舗旅館。これまで複数の欧州言語を含めた多言語サイトで予約を受け付けていたが、GDPRの中身を知り、日本語と英語のみの対応に絞るという。複数の欧州言語で予約を受け続けることで、GDPRの適用対象と見なされる可能性があると判断したからだ。

 その対応もむべなるかな。加えて、施行日を迎えてもなお、GDPRに全く対応していない企業やその規制にさえ気付いていない中小企業は多い。

 だが、GDPRの対応で大切なのは、そのプロセスだ。施行直後の今であれば、それぞれの身の丈に合った対策を講じることは十分可能だ。個人データ保護の一層の厳格化はもはや、世界的な流れとなっている。GDPR対応を、「守り」ではなく「攻め」と考えてみると、大きなビジネスチャンスに変えることもできるのだ。

0 件のコメント:

コメントを投稿