GDPR施行、フェイスブック、グーグルに違反の申し立て 事実上の世界標準に?

Geert Vanden Wijngaert / AP Photo

 欧州連合(EU)で25日、個人情報保護の新たなルールである「一般データ保護規則(GDPR)」が施行された。EUの「規則(regulation)」は域内で法的拘束力を持つため、企業は対応を迫られている。施行日の25日にははやくも、プライバシー保護のために活動する団体がフェイスブックやグーグルなどに対して違反を申し立てた。

◆グローバル収益の4%の制裁金も 強力なデータ保護規制
 GDPRは、EUを含むEEA(欧州経済領域)内の個人に関する情報を取り扱う際に様々な義務を課している。例えば、個人情報取得への同意に関する条件や第三国への情報の移転の制限、データの適切な管理などが詳細に定められている。ルールに違反した場合の罰則も厳しく、全世界での年間収益の4%を上限とする制裁金が科される可能性がある。

 フェイスブックは最近個人情報を流出させる事件を起こしているが、もし今後GDPRに違反した場合、2017年の収益約400億ドル(約4兆3000億円)の4%、つまり最大で約16億ドル(約1700億円)を支払わなければならなくなる可能性があるとされている。

◆「同意の強制」でフェイスブック、グーグルに違反申し立て
 フェイスブックとその子会社2社(ワッツアップ、インスタグラム)、およびグーグルに対しては、GDPRの施行日に早くも違反の申し立てが行われた。

 プライバシー保護のために活動するオーストリアの団体「noyb」は、これらの企業は個人情報の利用に同意しなければサービスが利用できないという運用を行っていると指摘し、「同意の強制」だと主張した。GDPRでは、個人情報に関する同意は「自由に与えられる」ものと規定されている。

 noybは、提供されるサービスにとって厳密な意味で必要なデータ処理はGDPRの中で認められているが、広告などの追加的なデータの利用にはユーザーの自由な同意が必要だと指摘。サービスに必要なデータ利用と必要でないデータ利用を区別し、後者については同意するかどうかをユーザーが本当の意味で選べるようにすべきだと主張した。

◆EU規則が事実上の世界標準に? 米国の反応
 GDPRは、域内の個人に関する情報のみを対象とするものだが、フェイスブックなど一部の企業はGDPRの規定に合わせて全世界で適用されるルールを変更した。

 こうした事態について米ワシントン・ポスト紙(25日)は、グローバルなデファクト・スタンダード(事実上の標準)が生み出されると指摘している。

 GDPRが施行されて間もないが、対策ができていない企業が欧州でサービスを展開できないという事態も起きている。シカゴ・トリビューンやロサンゼルス・タイムズなど米国の一部メディアは、GDPRに抵触しないように欧州からのアクセスを遮断した(ニューヨーク・タイムズ、25日)。

 GDPRの対策を講じることは企業の負担になっているが、その一方で、GDPRによって国内の個人情報保護が改善されるのではと期待する声も出ている。バージニア大学のヴァイディアナサン教授はGDPRについて、「デジタル経済の中で市民が尊厳と自治を持つことを確保するためのモデルとなることを期待している」と述べた(AP通信)。

Text by 後藤万里