INDEX
EU一般データ保護規則(General Data Protection Regulation:GDPR)が2018年5月に適用開始されてから、1年超が経過した。これを受け欧州委員会は最初の1年を振り返り、GDPRの実践と影響、さらに改善を検討したレポートを発表した。
「ほとんどの加盟国が必要な法的措置を導入しており、データ保護の確保を強化する枠組みが導入されてきている」と評価しているものの、消費者の保護法への周知などまだ課題も残す。今回は、GDPR施行の経緯と経過、これからの指針を紹介する。
GDPR施行の経緯
GDPRは、欧州議会・欧州理事会および欧州委員会が、EU内の全ての個人のためにデータ保護を強化し統合することを意図している規則だ。1995年に施行された「Data Protection Directive 95(EUデータ保護指令)」に代わる法規制として2016年4月に制定、2018年5月25日に施行された。
GDPRの背景と目的
ここで再度、GDPR施行の目的や背景を確認しておきたい。
施行の背景には、急速なデジタル技術の革新と、EU域内・域外を含めた国境を越えた国際化の進展があった。ビッグデータの時代に、企業や組織が顧客のデータや行動履歴などを集め、グローバル規模で分析し、商品開発やサービス改善などに活用するニーズが高まっていることは明白だ。
かねてよりEUでは、個人情報保護に関する法整備が進んでいたが、こうした個人情報を取り囲む環境変化への包括的な対応を目的として、GDPRという新たなデータ保護の枠組みが策定された。
そしてGDPRの目的は、主に「市民と居住者が自分の個人データをコントロールする権利を取り戻すこと」、そして「欧州連合域内の規則を統合することで、国際的なビジネスのための規制環境を簡潔にすること」の二点だ。
一点目は、ユーザーであるEU市民および居住者が、自身のデータが知らないところで了解なく勝手にやり取りをされプライバシーが侵害されないように、自分の個人情報をコントロールする権利があること。そのために各ユーザーは、企業などが保持する自身の情報にアクセス、訂正、削除などを求めることができることが定められている。
また、企業などがデータを収集する際は、何の目的のためにどのようなデータを収集するのか、明確にすることも求められる。
二点目の目的は、EU域内の規則を統合することで、欧州との国際ビジネスに必要な規則を統一することだ。以前の1995年に採択されたEUデータ保護指令は、EU加盟国およびEEA加盟国に対し、個人情報保護のための国内法規を立法するように要求していた。
しかし、加盟国それぞれの国ごとに要求事項やレベルが異なっていたため、これらをシンプルに一元化することが求められた結果、GDPRが指令から規則に格上げされた。
対象者と対象データ
GDPRは、データ管理者(EU居住者からデータを収集する組織)または処理者(データ管理者の代理としてデータを処理する組織)またはデータの主体(個人)がEU域内に拠点をおく場合に適用される。従って、EU居住者の個人データを収集または処理する場合は、EU域外に拠点をおく組織にも、適用される。
世界中でビジネスを展開しているオンライン通販業者やオンラインゲーム会社などをはじめ、多くの企業がメールマガジン登録やメールアドレスの登録、IPアドレスなどでGDPRに関わってくる。むしろ現代において、GDPRの適用を完全に免れ得る企業の方が少ないかもしれない。
欧州委員会によると、「対象となる個人データとは、個人の私生活であれ、職業であれ、あるいは公的生活であれ、個人に関係するあらゆる情報のことである。氏名、自宅住所、写真、電子メールアドレス、銀行口座の詳細情報、ソーシャル・ネットワーク・ウェブサイトへの書き込み、医療情報、または、コンピュータのIPアドレス、クッキー識別子まで、あらゆるものを含む」と公式サイトで説明している。
つまり、EUに所在する消費者の情報や、拠点がある場合、従業員、顧客情報などを含むすべての個人について、その個人識別につながる情報が対象となる。 日本にも個人情報保護法が存在するが、GDPRの範囲はそれより広く、オンライン識別子なども含まれている。
1年間のGDPRの経過と影響は
企業・組織への影響
GDPRが以前のEUデータ保護指令よりもより企業に与えるインパクトが大きいのは、その罰則金額が莫大であることだ。違反者には最大で、全世界の年間売上の4%、もしくは、2,000万ユーロ(およそ26億円)という超巨額の制裁金が科せられる。
実際、施行後1年以内でGDPR違反に対し、制裁金を科した事例を以下に挙げる。
2019年1月にフランスで、米大手IT企業グーグルに対し、広告に対する了解が得られなかったGDPR違反として、5,000万ユーロ(およそ63億円)の莫大な罰金を課すと発表している。
リトアニア当局でも、電子決済サービスを提供するMisterTangoに対し、22万ユーロ(およそ2,772万円)の違反制裁金を科したと発表した。顧客の決済情報が2日間以上にわたって公に閲覧できる状態になっていた点やそれを当局に報告しなかった点、決済サービスを提供するのに必要以上の顧客情報を収集していた点が問題視された。
ドイツでもSNS運営会社がユーザーのデータを適切に扱わなかったとして2万ユーロ(約252万円)の制裁金が科されている。
消費者への影響
では消費者の側はどうだろうか。欧州委員会の調査期間Eurobarometerが2万7千人以上のEU市民を対象に行った調査では、GDPR適用後、EU市民の間で個人情報保護に対する意識が高まっている結果を示した。
それによると、57%のEU市民が個人情報処理に関する苦情申し立てができるデータ保護当局の存在を認識しており、2015年と比べるとその割合は20ポイント上昇した。
2018年にはほとんどの加盟国で個人情報に関する問い合わせや苦情が前年より増加したとしており、欧州データ保護会議が把握している範囲で14万4,000件を超える苦情申し立てと、9万件に近い違反の通報があったという。
GDPRの目指すこれから
欧州委員会が7月に発行したデータシートでは、委員会は以下のことを強化すると明言している。
- すべての加盟国がEUのデータ保護規則を遵守することを保証する(今日、ギリシャ、ポルトガル、スロベニアの3国を除くすべての国が、EUの規則に沿って国のデータ保護法を更新している。委員会は、加盟国の法律を引き続き監視し、国内法でGDPRを指定し規則に沿ったままであることを確認していく)。
- データ保護当局に十分なリソースを割り当てられるよう、加盟国に奨励する。
- 国家データ保護当局間の協力を強化する。
- GDPRの下で利用可能な行動規範を採用するなど、すべてのツールを最大限に活用し、すべての加盟国で同じ方法で規則が適用されるように促進する。
- 市民社会や企業など全ての利害関係者を支援し、関与させる 中小企業を含む個人と企業が、GDPRによってもたらされる利益を享受できることを支援する。
- 関連するすべての方針にデータ保護を統合する。
- 高レベルのデータ保護ルールに向けた、国際的な収束を促進する。
そして委員会は2020年の実施について来年も報告し、1995年の指令に基づいて採択された11の妥当性決定のレビューを含む、2年間の適用後の進捗を評価する予定だ。
私たちの日常のデータは、活況を呈するデジタル経済にとって非常に重要な要素となっている。これからのAI社会や機械学習の開発においても、それはますます重要な役割を果たしてくることは明確だ。技術革命の発展と個人の権利を尊重するデータの利用は、グローバル社会を形成するうえで不可欠だ。企業はコンプライアンスを守るのに必死になる一方、最終顧客である市民の称賛を得なければならない。
消費者たちが自分らの権利をより意識するようになっているのは、このデジタル経済において、自然な流れと言える。
文:米山怜子
編集:岡徳之(Livit)