予約開始から1ヶ月以上が経ち、SNS上では発送を待ちわびる声が聞こえる「ZOZOSUIT」。11月22日の予約開始時点より国外向けの専用ウェブサイトも公開され、一部の海外メディアではオンラインショッピングの救世主として取りざたされていた。

先日の記事でも触れた通り、ファッション以外の分野でもさまざまなユースケースが考えられるZOZOSUIT。しかし、世界中の人びとの体型データを入手するという同商品のポテンシャルに、どこか危うさを感じた人もいるのではないだろうか。一番の懸念点、それはずばり「個人情報」だ。

ヨーロッパでは市民の個人情報保護を目的に、2016年4月14日、欧州議会本会議が「EU一般データ保護規則(General Data Protection Rules:GDPR)」を可決。同規則には個人情報の収集・処理に関するルールが規定されているほか、原則EU圏外へのデータ持ち出しを禁じる条項が記されている。

しかもGDPRはEU圏内の企業だけでなく、EU市民にサービスや製品を提供する海外企業も対象となっていることから、ZOZOSUITを販売するスタートトゥデイも当然その対象に含まれる。

そこで今回は、クオン株式会社で取締役・ベルリン支局長を務め、個人情報を含むデジタル社会環境の専門家でもある武邑光裕氏に、GDPRがZOZSUITにおよぼす影響について話をうかがった。

スタートトゥデイが日本でデータを管理するという設計自体成り立たない

――はじめてZOZOSUITのことを知ったときの印象はいかがでしたか?

「これは危ないな」というのが第一印象でした。そもそもファッション業界には著作権という概念がないんですが、これはファッションが人の身体というプライバシーを保護する公共財として考えられていたからです。

そのため、ファッション業界が人びとのプライバシーに踏み込んできた、というのが衝撃でしたね。EU、そして欧州経済領域(EEA)内に住む市民の一人として心配しています。


Photo by Dayne Topkin on Unsplash

――GDPRに照らして考えたときのZOZOSUITの具体的な問題点について教えていただけますか?

問題は大きくわけて2つあります。

まず、ZOZOSUITのウェブサイトを確認しても、体型データの何がどういう目的で使われるか、そしてデータは他社に販売される可能性があるか、といったデータの取扱いに関する情報がまったく記されていません。

プライバシーポリシーを見ても極めて一般的な内容に終始しており、GDPRに準拠しているとは言い難い。

現状すでにGDPRは発効されていて、来年5月に「完全施行」されます。完全施行後にデータの扱いについて詳述していないと、制裁金*を含むGDPRの罰則の対象になるでしょう。(*GDPRに違反した場合、最大で企業の年間全世界売上高の4%、もしくは2000万ユーロのうちいずれか高い方が制裁金として課される)


Photo by Carlos Muza on Unsplash

次に、EU圏内の消費者から集めたデータは域外へ移転することができません。欧州委員会が十分な個人情報保護制度を有していると認めた国へのデータ移転は、一定の要件を満たせば許可されていますが、日本はこの対象国として認められていません。

つまり、スタートトゥデイが日本で包括的に世界のユーザー情報を管理する、という設計自体成り立たないのです。この状況はEUに子会社を設立したとしても変わりません。

例えば、私も日本から駐在員として派遣されて現在ベルリンに在住していますが、原則的には日本の本社で私の個人データを扱うことはできません。そのためには特別に法的な処置をとらなければいけませんでした。

世界の誰かが情報を一手に集めるような時代は終焉を迎えつつある

――現在公開されている情報をもとに考えると、世界中で同じようなサービスを展開するのは困難ということですね。それでは、スタートトゥデイがGDPRに抵触せずにEU内の消費者へZOZOSUIT関連サービスを提供するにはどうすればよいのでしょうか?

先ほどの課題に対応して、まずデータの扱いに関する情報を消費者に分かりやすい形で明示するということですね。

日本でも今年5月に改正個人情報保護法が施行されたように、世界的に個人情報に対する規制は今後厳しくなっていくことが予想されます。そのため、何を目的に、どんなデータをどのくらいの期間、どのように保管するかという点を中心に、プライバシーポリシーをはっきりと示すことが重要です。

またEU圏内の個人データの処理に関して言えば、子会社をEU圏内に設立するというのが一番現実的なオプションだと思います。

先ほどデータ移転はできませんと言いましたが、法的な対策をとれば一部のデータ移転の可能性もゼロではありません。しかし、消費者一人ひとりとそのような契約を結ぶのはコスト・時間を考慮すると現実的とは言えないでしょう。

そうすると、EUのユーザーに関してはEU法人が個別に管理する、というのがスタートトゥデイに残された選択肢です。

実際にAlphabet(Googleの持株会社)、Apple、Facebookといったアメリカの大手IT企業は、EU圏内に新しいデータセンターを設立する計画を発表しました。彼らのような巨大企業がこういう動きを見せはじめたというのは、世界の誰かが情報を一手に集めるような時代は終焉を迎えつつある、ということを意味しています。


デンマーク郊外にFacebookが建設予定のデータセンターのイメージ図(Facebook)

Data Protection by Default & by Design

――スタートトゥデイの他にも、マーケットプレイスのメルカリのように日本から世界に羽ばたくプロダクトが生まれつつあります。今後彼らと同じような方向に進もうとしている企業に対して何かアドバイスはありますか?

ビジネス設計の段階から個人データ保護を徹底するということです。現在欧州内の企業が何か新しくビジネスを始める場合、彼らはGDPRを意識してプロダクト・サービスを開発しています。

これは「Data Protection by Default & by Design(初期段階からデータ保護を意識したビジネス設計)」と呼ばれるコンセプトで、少なくとも公になっている情報を見るかぎり、残念ながらスタートゥデイからはその意識が感じられません。

EUでは少なくとも市民の9割が企業による個人情報の扱いに懸念を抱いていて、7割がデータの転売に疑念を持っていると言われています。

GDPRはそのような背景を受けて生まれた規則なので、企業は付け焼き刃の対策で既存のモデルをGDPRに対応させようとするのではなく、ユーザーとなる消費者の思いを含め、ビジネスの初期段階から個人データ保護についてしっかりと考えなければいけません。