EU一般データ保護規則が施行 「劇的な変化」が招く様々な混乱

インタビューに応じた、マイ・ネームタグのオーナーであるアンダーセン氏(AP Photo / Matt Dunham)

 ラーズ・アンダーセン氏が経営する会社は、子供たちの氏名や電話番号などの最も機密性の高いデータを取り扱っている。

 ロンドンを拠点とし、アイロンで子供服に個人名を付けられる名札を販売する企業、マイ・ネームタグのオーナーであるアンダーセン氏は、130か国で事業展開している同社にとって、子供たちの個人情報を保護することはビジネスの基本である、と言う。

 しかし、5月25日から、マイ・ネームタグを含め、EU居住者の個人情報を収集したり処理したりするほとんどの企業には、新しく施行されたEU一般データ保護規則(GDPR)に従い、いくつかの対策をさらに講じる必要が生じている。EUは、GDPRについて、データ保護法の歴史上最も劇的な変化、と称している。

 この法律の制定は、個人情報の保護という難題への取り組みとして称賛されている一方で、その施行に際して様々な混乱も招いている。企業が理解しようとしている内容は多岐にわたる。それぞれのデータがどのレベルの保護を必要とするのか、この法律が会社経営に影響し、イノベーションを余儀なく迫るものなのか、この法律を施行するEUに属する28ヶ国の国家データ規制機関はどのように統制されるのか、などだ。

「いざ(この法律の)精神を体系化しようとすると、予期しなかった結果を得ることになる。私たちは、具体的に何をしなければいけないのか、という問題に直面している。しかも、そこには千差万別の答えがある」とアンダーセン氏は話した。

 EU一般データ保護規則が抱える不透明さ、および同法に違反した場合の厳しい罰則の制定ともあいまって、メール受信箱の管理を行う企業、アンロール・ミー、ゲームソフト会社のラグナロクオンラインなどインターネット上でビジネスを展開するいくつかの企業は、EU諸国に居住するユーザーからの自社サイトへのアクセスをブロックする意思決定を下した。サンフランシスコを本拠とする家庭用小売業者であるウイリアムズ・ソノマの関連会社、ポッタリー・バーンは、今後EU諸国への商品発送は行わないことにした。ロサンゼルス・タイムズ紙は、多くのEU諸国で、自社ウェブサイトへのアクセスを一時的に制限している、と語った。

 GDPRが実施された結果、データ保護も企業間取引において考慮すべき課題となり、データ漏えい時の責任をどのように分担するのかも契約交渉の対象になった。

 EU諸国内の18都市にオフィスを構える法律事務所、フィールドフィッシャーの秘密情報保持パートナーであるフィル・リー氏は、「多くの商取引が今回のデータ保護によって阻害されている。何らかの問題が発生した場合、誰がどのように責任を取ればよいのか想像がつかない」と話した。

 EU諸国自身も、新ルールに対処する準備がまだ十分に整ってはいない。GDPR施行に対応した国内法を採択したのは、加盟国28ヶ国のうち半数以下であり、残りの各国が同じように新法を採択して足並みをそろえるのにはあと数週間が必要だ、とウィルマーヘイル国際法律事務所は語る。

 大半のEU全体への規制発効と同様に、新たなデータ保護規則の施行は、各国の当局に委ねられている。EUは、この法律は全員にくまなく適用されると強調しているが、曖昧なままである大きな疑問の1つが、はたして規制当局は法律違反者すべてを追求するのか、それとも単にグーグルやフェイスブックなどデータ関連の巨大企業に焦点を絞る意図があるのかどうか、である。

 法律家たちは、新法に記載された個々の条文を規制当局がどのように解釈するのかはまだ明確でない、とも言う。一例として、この法律では、個人データの情報処理は「公正」でなければならず、また、データは「必要以上の長期にわたって」保持してはならない、と定めている。

 プライバシーとサイバーセキュリティの専門家であるウィルマーヘイル国際法律事務所のD・リード・フリーマンJr氏は、「シートベルト着用とエアバッグの作動をきちんと確認すべき時が来た。今回の一連の動きは、ロケットに例えれば打ち上げ時の準備を進めるようなものだ。ロケットはまさに打ち上げの時を迎えた」と語った。

 マイ・ネームタグのアンダーセン氏は、この法律が既に同氏のビジネスにも影響を与えている、と言う。

 アンダーセン氏は、オランダのマイ・ネームタグ社のウェブサイトとイギリスの同社サイトはそれぞれ異なるものでなければならない、と勧告を受けた。その理由は、オランダとイギリスではGDPRを異なった解釈のもとで適用する可能性が高いからである、という。そして同時に、特定のデータに対する保護責任をだれが負うべきかで、サプライヤーとの争議を抱えることになってしまった。

 イギリスのデータ保護を担当する情報コミッショナー事務局のエリザベス・デナム委員長は、いずれの企業もGDPRの遵守に最善を尽くし、問題があれば当局と協力してその問題解決に努めることが最も大切なことだ、という談話を発表し、同法にまつわる数々の懸念を緩和しようと試みた。

 デナム委員長は、「我々は、公正でバランスの取れた規制当局であることを誇りとしており、この姿勢をGDPRの下でも継続する。積極的に自己申告を行い、我々当局者と協力して問題解決に当たり、効率よく説明責任を果たそうとする姿勢を示す当事者に対しては、我々が何らかの法的規制措置を講じる場合に、それらの協力的な姿勢は考慮されると期待してよい」という趣旨の記事をブログに投稿した。

 技術の進歩がデータを価値の高いものとし、それゆえ、データ保護の重要性が高まる現在、この新法が一斉に適用される。

 消費者の購入履歴から医療機関の受信記録に至るすべての情報を分析する能力は、我々の健康促進、物流の改善、および、その他の社会的便益といった無限の可能性を秘めている。同時に、この分析能力は巨額の利益をもたらす新たなビジネスチャンスを生み出す。一部の専門家は、データ経済の価値は全世界で3兆ドルに達するとも試算する。

 この潜在的な可能性は、今日、世界で最も価値があるとされる企業が大きく変化したことによって強調される。かつてはエネルギーや製造業に携わる企業が最も価値のある企業として列挙されていた。それが今では、アップル、アルファベット、マイクロソフト、アマゾン、そして、フェイスブックの5社が上位6社にランクインしている。

 世界経済フォーラムでデジタルフローと貿易フローのプロジェクトリーダーを務めるアダム・シュロッサー氏は、「データは、新しい肥沃な土壌だ。成長のための基礎的な要素となる」と語る。

 しかし同時に、データは個人の利得のために使用でき、個人のプライバシーを脅かす恐れがある。

 政治コンサルタントのケンブリッジ・アナリティカがフェイスブックから個人データを不正に入手し、2016年のアメリカ大統領選挙でドナルド・トランプ氏の支持を高めることに悪用した疑惑は、プライバシー侵害に懸念を抱く活動家が強調した脅威の直近にして具体的な例である。

 アンダーセン氏は、「信用の置けない経営者たち」が規則を無視し続けることを恐れている。しかしGDPRが周知徹底されれば、アンダーセン氏自身はデータ保護を真剣に受け止めており、自社が顧客に提供しているカップケーキ、ユニコーン、スマイリー・フェイスなどで彩られた名札の背後にある個人情報を確実に保護すべきものと認識していることを実証してくれる、と期待している。

「誰もが紛失したり見失ったりしたくないと願うデータの中で、子供たちの個人情報はその中核となるものだ。ある意味、自分が親ならこんなふうに接して欲しい、と思うのと同じやり方で、我々は、顧客を親としての立場で扱い、接するように努めてきた。これが、我々が企業として成功を収めることができた理由だ」とアンダーセン氏は言った。

By DANICA KIRKA, Associated Press
Translated by ka28310 via Conyac

Text by AP