日本企業も要注意! 欧州「一般データ保護規則」の事実:よく耳にする「神話」の正体

欧州の「一般データ保護規則」(General Data Protection Regulation:以下、GDPR)がパブリッシャーやアドテク企業、マーケターにもたらす脅威をめぐる騒ぎは、同法が発効する2018年が近づくにつれ、大きくなっている。当然のことながら、たくさんの「GDPRの専門家」たちが昨年から出現し、各企業がこの課題を乗り越える手助けをしようとしている(助けになるものもいれば、混乱を上塗りするだけのものもいるが)。

ルビコン・プロジェクト(Rubicon Project)がロンドンで9月6日(現地時間)に開催した「オートメーション・サミット(Automation Summit)」で、ニュースUK(News UK)のデータ保護ならびにプライバシー担当オフィサーであるロバート・ストリーター氏は、GDPRに関する事実と嘘を見分ける重要性を強調した。「GDPRに関する『専門家』のコメントを読む場合は、注意深く読んで、自分自身のアプローチを検証することをお薦めする。間違った情報がたくさん出回っている」。

今回は、よく耳にする「神話」のいくつかについて、その正体を暴いていきたい。

「最大の脅威は、涙が出るほど高額な罰金」という神話

新しい規則に従わない企業は、売り上げの4%または最高1700万ポンド(約24億円)の罰金に直面するのは事実だが、そうした罰金が科せられることは、少なくとも英国内では稀なケースだろう。罰金刑は、法を守らない企業、あるいは英国のプライバシー監視機関である情報コミッショナー局(Information Commissioner’s Office:以下、ICO)に対して、「人々の権利や自由に影響を及ぼす」データプライバシー侵害が発生したことを通知しなかった企業にのみ適用される。

ICOはすでに、この件に関しては「ムチよりアメを好む」意向を表している。つまり、ICOにはそうした額の罰金を科す権限はあるが、高額な罰金は最後の手段ということだ。英国の情報コミッショナーであるエリザベス・デンハム氏は最近のブログで、「我々が小さな侵害に目を光らせ、高額な罰金を科すべきだと考えている組織の見本だと示唆することは、とんでもないデマだ」と書いている。ICOが企業に対して行う処分にはほかにも、警告、戒告、是正命令がある。こうした処分で企業の懐は痛まないかもしれないが、企業の評判や世間のイメージにはマイナスの影響を与えるだろうと、デンハム氏は書き加えている。

「データ処理のための唯一の方法は『同意を得ること』」という神話

企業が顧客データを収集・処理するために明確な同意を得ることに関して、GDPRのルールはより厳格化されたが、そのせいで広告市場全体がストレスを受けている。「明確な」「明白な」「通知のうえで」など、消費者の同意を表すのにさまざまな新しい形容詞が使われるようになり、それだけで心臓が激しく拍動してしまうのだ。だが、ほとんどのことがそうであるように、講じられる策はほかにもいろいろある。

「デジタル広告を目的にして個人データを収集・利用するという側面のいくつかについては、『同意を得ること』がもっとも実行可能で、たぶん、唯一のオプションだ。だが重要なのは、ほかにも方法はいくつかあって、データ利用の側面ではそれが有効に機能するかもしれないことだ」と語るのは、英国インターネット広告協議会(以下、IAB)の政策および規制部門副責任者であるイブ・シュバルツバルト氏だ。だから、IABが同意に関する指導をしてくれるのをただ待っているようではいけない。事実、GDPRには、個人データの処理を認める方法がほかに6つ示されている、とシュバルツバルト氏は付け加えた。

エントロピー・データ(Entropy Data)の公共政策コンサルタントであるニック・ストリンガー氏は、たとえば各企業はデータを処理する法的根拠を確認する前に、一緒に仕事をするパートナーが誰で、パートナーによってデータがどこでどのように共有され、引き渡されるかを知っておく必要があると話す。さらに、コンプライアンスマップ作成を支援するデータ保護責任者を任命する必要があるかどうかも検討したほうがよいと、ストリンガー氏は付け加える。

ニュースUKでは現在、そうした作業を進めているそうだ。「ユーザーの情報を集めているという認識をきちんと持つ方法、そして、我々とともに働くさまざまなサードパーティーによるその利用法を、サプライチェーンのずっと下流に至るまで把握する方法を考えている」とストリーター氏は述べる。

「GDPRは欧州だけの問題」という神話

GDPRは、英国を含む欧州連合(以下、EU)加盟の28カ国(英国がEUを離脱したとしても、そのコンプライアンスには影響しない)に対してのみ適用される規則とは異なる。欧州の消費者に品物やサービスを提供する、あるいは欧州に住む人々の行動をモニターする他国の企業は、オフィスやアドサーバーがどこにあるかに関係なく、その影響を受けることになる。

「GDPRの対象範囲は、個人が特定される情報に限定される」という神話

GDPRの対象範囲は、個人に関わる機密データに限定されているわけではない。GDPRの保護対象となる個人データには、IPアドレスやクッキー追跡も含まれている。「デジタル広告部門では昔から、クッキーやIPアドレスを匿名情報として扱ってきたが、これからはそうはいかなくなる」と、エントロピー・データのストリンガー氏は語る。「人々は、個人が特定できる情報や特定できない情報といった、使い慣れた言葉をいまも使っていて、それが混乱の原因になっている。個人を特定しない情報も、個人情報として扱うことが重要だ」。

「GoogleとFacebookが得をする」という神話

今回のデータプライバシー法でFacebookとGoogleがいかに得をするかを解説する記事が 世の中には無数に存在するが、みんながみんな、それが真実だと信じているわけではない。デジタルコンテンツネクスト(Digital Content Next)の最高経営責任者(CEO)、ジェイソン・キント氏は次のように語る。「売り上げに関して言えば、FacebookとGoogleは、欧州で消費者のプライバシー保護のハードルがあがることに関連して、もっとも大きなリスクを抱えている。プライバシー保護法はFacebookやGoogleを助けるだけだというロビイストの神話を信じている人は、騙されている」。

Jessica Davies(原文 / 訳:ガリレオ)