一般データ保護規則（GDPR）は、今日から施行される新しいEU法です。そのため、プライバシーポリシーの更新に関するメールや通知を受け取り続けているのでしょう。どのような影響があるのでしょうか？ここで知っておいていただきたいことがあります。

2018年5月25日に施行される新法GDPRは、EU市民のデータ保護とプライバシーを対象としていますが、他の多くの国にもさまざまな形で適用されますし、ハイテク大手はすべて大規模な多国籍企業なので、皆さんが日常的に使っている多くのものに影響を及ぼします。

gdprが解決しようとしている問題は、企業が個人情報を収集し、悪用することである。

インターネットが登場して以来、企業は誰からも可能な限り多くのデータを収集してきました。情報を集めるのは簡単なことなので、ためないわけがない。

問題は、ここ数年、多くの企業がお客様の個人情報の保護を怠ったり、あからさまに不正利用したりしたことが発覚していることです。ケンブリッジ・アナリティカのスキャンダルは、研究者がFacebookのクイズを使って何百万人ものFacebookユーザーに関する膨大なデータを収集し、それをコンサルティング会社**に提供した直近の例に過ぎません。特に昨年のEquifaxのハッキングは、流出した情報がクレジットカードの開設に利用される可能性があったため、最悪の事態となりました。これらは大きなスキャンダルです。多くの企業は、お客様のデータを第三者の広告会社に販売するなど、小さな範囲で悪用しています。

EUはこの状況を悲観し、GDPRを利用して是正しようとしている。新法の下では、消費者データを適切に保護しない企業や、何らかの形で悪用した企業は、巨額の罰金を科されることになります。

配慮された個人情報（c***idered personal data）については何ですか？

GDPRは「個人データ」を保護するもので、この文脈では「特定された、または特定可能な自然人に関するあらゆる情報」を意味し、かなり広範な定義がなされています。実際には、個人データには通常次のようなものが含まれます。

• お客様の氏名、住所、電話番号、国民保険番号等の個人情報。
• 髪の色、民族、身長など、お客様の外見や行動に関するデータ。
• 給与、大学の学位、GPA、税コードなど、学歴や職歴に関する情報。
• あらゆる医学的または遺伝学的データ。
• 例えば、お客様の通話履歴、プライベートメッセージ、ジオロケーションデータなどです。

これは完全なリストではありません。要は、自分のアイデンティティを確立できるようなデータがあれば、それは重要なのです。場合によっては、髪の色で十分な場合もあります。また、フルネームでもロバート・スミスのような一般人には特定できない場合があります。

gdprは何をするものですか？

GDPRは、法律上「データ主体」と呼ばれるEUの居住者に、個人データの収集に関する8つの権利、すなわち、「データ主体」を与えています。

• 知る権利：企業がデータを収集する場合、データ対象者に収集内容、収集理由、利用目的、保存期間、第三者との共有の有無などを伝える必要があります。この情報は、誰も読まない利用規約の奥深くに隠しておくことはできず、明確かつ簡潔でなければなりません。
• アクセス権：データ対象者に関する個人データを保有する組織は、データ対象者が要求した場合、1カ月以内にそれを提供しなければならない。
• 修正する権利：データ対象者は、企業のデータが誤っていることを発見した場合、更新を要求することができる。企業は1カ月以内にこれに応じなければならない。
• 消去する権利: データ対象者は、特定の状況において、当社が保有するデータの消去を要求することができます。例えば、データが不要になった場合、またはデータの使用に関する同意を撤回した場合などです。
• 処理を制限する権利：データ対象者のデータを削除できない場合、例えば、法的なケースでデータが必要な場合、データ対象者はそのデータの使用方法を制限するよう会社に要求することができます。
• データポータビリティの権利：データ対象者は、あるサービスから個人データを入手し、それを別のサービスと組み合わせて使用する権利を有します。
• 反対する権利：データ対象者は、同意なしに、正当な商業的利益、公益または公的権限のためにデータが収集された場合、反対することができます。その場合、組織は、正当な理由があることを証明できるまで、データの処理を停止しなければなりません。
• 分析を含む自動的な意思決定に関する権利：GDPRは、個人が自分と自分のデータに影響を与える自動的な意思決定に異議を唱えたり、説明を受けたりできるように保護措置を定めています。

この法律のもう一つの重要な点は、企業がデータを収集し、処理するためには、正当な理由がなければならないということです。正当な理由のひとつは、特定の目的のために使用することに同意を得ていることですが、他にも法的義務を果たすために必要な場合、あるいは公共の利益のために収集される場合など、同様の理由があります。

このように、法律でEU居住者に与えられている権利は非常に広範であり、EU居住者からデータを収集する企業は、何を、なぜ収集しているのかを真剣に考えなければならない。何でもかんでも集めておいて、後で活用できればいいという時代は、少なくともヨーロッパでは終わっています。そのため、あなたがこれまでにメールアドレスを提供したほぼすべてのサービスがあなたに連絡を取っているのです。

多くの企業が頭を悩ませているのは、GDPRに違反した場合の制裁がかなり厳しいということです。この法律により、組織には最高2,000万ユーロまたは全世界の年間売上高の4%（どちらか大きい方）の罰金が科される可能性があります。アマゾン（Amazon）やグーグル（Google）などの企業にとって、EU居住者のデータの取り扱いを誤れば、数十億円の罰金につながる可能性がある。

アメリカ人にとってgdprはどういう意味を持つのか？

今回は、GDPRがEUの法律であるというだけで、EUの居住者にどのような権利が与えられるかに焦点を当てました。米国市民には、EUの居住者でもない限り、実際には適用されません。メールがたくさん届くのは、ほとんどの会社が誰がEUの居住者で誰がそうでないかを見分けることができないからです。

しかし、GDPRが影響を与えないというわけではありません。このため、多くの企業が消費者データの取り扱い方法を再検討し、中にはすでにGDPRの権利をEU域外の住民にも拡大することを検討し始めた企業もあります。また、多くの場合、企業にとっては、すべての顧客に対して単一のルールを導入する方がシンプルになります。

例えば、Appleは新しいプライバシーポータルを立ち上げ、人々が自分の個人データをすべてダウンロードしたり、アカウントを削除したりできるようにしました。言い換えれば、人々がアクセスし、削除する権利を提供するのです。現時点ではEU圏のアカウントのみが利用可能ですが、Appleは今後数ヶ月のうちに全世界で展開する予定です。同様に、FacebookはEU圏外の一部のユーザーにも同じGDPRの保護を与えることを呟いている。