\r\n\r\n
一般データ保護規則(GDPR)は、今日から施行される新しいEU法です。そのため、プライバシーポリシーの更新に関するメールや通知を受け取り続けているのでしょう。どのような影響があるのでしょうか?ここで知っておいていただきたいことがあります。
2018年5月25日に施行される新法GDPRは、EU市民のデータ保護とプライバシーを対象としていますが、他の多くの国にもさまざまな形で適用されますし、ハイテク大手はすべて大規模な多国籍企業なので、皆さんが日常的に使っている多くのものに影響を及ぼします。
インターネットが登場して以来、企業は誰からも可能な限り多くのデータを収集してきました。情報を集めるのは簡単なことなので、ためないわけがない。
問題は、ここ数年、多くの企業がお客様の個人情報の保護を怠ったり、あからさまに不正利用したりしたことが発覚していることです。ケンブリッジ・アナリティカのスキャンダルは、研究者がFacebookのクイズを使って何百万人ものFacebookユーザーに関する膨大なデータを収集し、それをコンサルティング会社**に提供した直近の例に過ぎません。特に昨年のEquifaxのハッキングは、流出した情報がクレジットカードの開設に利用される可能性があったため、最悪の事態となりました。これらは大きなスキャンダルです。多くの企業は、お客様のデータを第三者の広告会社に販売するなど、小さな範囲で悪用しています。
EUはこの状況を悲観し、GDPRを利用して是正しようとしている。新法の下では、消費者データを適切に保護しない企業や、何らかの形で悪用した企業は、巨額の罰金を科されることになります。
GDPRは「個人データ」を保護するもので、この文脈では「特定された、または特定可能な自然人に関するあらゆる情報」を意味し、かなり広範な定義がなされています。実際には、個人データには通常次のようなものが含まれます。
これは完全なリストではありません。要は、自分のアイデンティティを確立できるようなデータがあれば、それは重要なのです。場合によっては、髪の色で十分な場合もあります。また、フルネームでもロバート・スミスのような一般人には特定できない場合があります。
GDPRは、法律上「データ主体」と呼ばれるEUの居住者に、個人データの収集に関する8つの権利、すなわち、「データ主体」を与えています。
この法律のもう一つの重要な点は、企業がデータを収集し、処理するためには、正当な理由がなければならないということです。正当な理由のひとつは、特定の目的のために使用することに同意を得ていることですが、他にも法的義務を果たすために必要な場合、あるいは公共の利益のために収集される場合など、同様の理由があります。
このように、法律でEU居住者に与えられている権利は非常に広範であり、EU居住者からデータを収集する企業は、何を、なぜ収集しているのかを真剣に考えなければならない。何でもかんでも集めておいて、後で活用できればいいという時代は、少なくともヨーロッパでは終わっています。そのため、あなたがこれまでにメールアドレスを提供したほぼすべてのサービスがあなたに連絡を取っているのです。
多くの企業が頭を悩ませているのは、GDPRに違反した場合の制裁がかなり厳しいということです。この法律により、組織には最高2,000万ユーロまたは全世界の年間売上高の4%(どちらか大きい方)の罰金が科される可能性があります。アマゾン(Amazon)やグーグル(Google)などの企業にとって、EU居住者のデータの取り扱いを誤れば、数十億円の罰金につながる可能性がある。
今回は、GDPRがEUの法律であるというだけで、EUの居住者にどのような権利が与えられるかに焦点を当てました。米国市民には、EUの居住者でもない限り、実際には適用されません。メールがたくさん届くのは、ほとんどの会社が誰がEUの居住者で誰がそうでないかを見分けることができないからです。
しかし、GDPRが影響を与えないというわけではありません。このため、多くの企業が消費者データの取り扱い方法を再検討し、中にはすでにGDPRの権利をEU域外の住民にも拡大することを検討し始めた企業もあります。また、多くの場合、企業にとっては、すべての顧客に対して単一のルールを導入する方がシンプルになります。
例えば、Appleは新しいプライバシーポータルを立ち上げ、人々が自分の個人データをすべてダウンロードしたり、アカウントを削除したりできるようにしました。言い換えれば、人々がアクセスし、削除する権利を提供するのです。現時点ではEU圏のアカウントのみが利用可能ですが、Appleは今後数ヶ月のうちに全世界で展開する予定です。同様に、FacebookはEU圏外の一部のユーザーにも同じGDPRの保護を与えることを呟いている。