施行迫る「一般データ保護規則」（GDPR）がEU以外の企業に与える影響

INDEX

消費者データの収集に新指針

米国では毎年5月の終わりになると、人々がメモリアルデー（戦没将兵追悼記念日）の週末の計画を立て始め、楽しい雰囲気が漂う。だが今年は、多くの起業家にとって頭の痛い時期になりそうだ。

2018年5月25日、EUの「一般データ保護規則」（GDPR）が施行される。プライバシー保護について厳格な基準を設けるもので、消費者データの収集に新たな指針が示される。

それらの規則は、EU居住者の個人データを所有したり処理したりしている企業すべてに適用される。その企業の所在地がEU外であっても関係ない。

当然ながら、グーグルやフェイスブック、アマゾンなどのグローバル企業はGDPRの要件を満たすべく、対策に急いでいる。たとえば、ユーザーにプライバシーのコントロール権を与えるためのプライバシーセンターを設立するなどの対策を立てている。

重要なのは、こうした対策が求められるのは既存のグローバル企業に限らないことだ。EU市民にモノやサービスを提供したり、EU市民の個人データ（名前、メールアドレス、IPアドレスなど）を入手したりしている企業はすべてGDPRの対象となり、違反すればペナルティーを科される。

つまり、向こう数年内に欧州市場への参入を狙っているスタートアップも含め、すべての企業がこのGDPRの要件をどのように満たしていくか考える必要に迫られている。

ただし、面倒で複雑な対策を立てるよりも、罰金を払う覚悟を決めてGDPRを無視するという選択肢もある。それはそれで、その企業の権利であるから、とやかくいう気はない。

だが、そうした企業は覚えておくべきである。GDPRを順守しなかった場合の罰金は相当なものだ。最大2000万ユーロまたは年間売上高の4％──いずれか高いほうを支払わなければならない。

言うまでもなく、ルールを無視するコストは順守するメリットをはるかに上回り、GDPRを受け入れるほうが企業にとって得策だ。

では、その要件とは具体的にどのようなものなのか。

第一に、企業はユーザーのデータを入手する際、本人の同意を得る必要がある。かつ同意の求め方は「ユーザーがわかりやすく、簡単にアクセスできる形であり、データ処理の目的が明示されていなければならない」。

さらに、そこで使われる言葉は「明確で平易」であること。同意はユーザーが簡単に取り下げられること。データ漏えいが起きた場合、発生から72時間以内にユーザーに知らせることも条件となっている。

GDPRについて最も画期的なのは「忘れられる権利」を法制化したことだ。すべてのEU市民に、自分のデータを企業のデータベースから削除したいと要請する権利が付与された。

たとえば、ユーザーがツイッターのアカウントを閉鎖すると決めた場合、ツイッター社はGDPRの規則に従い、ユーザーから要請されたすべてのデータを削除する必要がある。

もちろん、制限はある。公益となる情報（たとえばニュース性の高いもの）や表現の自由にかかわるデータの削除は要求できない。

EU市民はまた、企業が保有している自分の情報すべての開示要求に加え、それらの保管場所、それらがどのような目的で何に使われているかを知る権利も与えられることになる。

そこで今、米国企業の頭を悩ませているのが、このような規則が大西洋を渡って自国にも上陸するのではないかという懸念だ。

モバイルマーケティング分析プラットフォーム「フォローアナリティクス」のサミール・アダミンは、GDPRのような法規制はすぐに他国へも広がっていくと予想する。

理由は簡単である。ユーザーがそれを求めているからだ。アダミンによれば、とくに米国が導入するのは時間の問題だという。

近年、情報漏えいの件数が増加し、各国の政府や企業がサイバーセキュリティを重視していることも法規制の導入につながるだろう。サイバー攻撃による損害を最小限に抑えるために、データ保管に関してより厳しい規制を求める向きもあるからだ。

米国ではニューヨーク州が金融機関向けに新たなセキュリティ要件を課している。これにより、金融機関はサイバー攻撃を受けた場合に備えることができる。

結局のところ、GDPRの施行は2つの意味で大きな節目だといる。まず、EU圏外を拠点としている多くの企業にも影響を与えるという現実。そして、これを機にさらなるデータ保護規制が制定されていく可能性がある。

あなたの会社は準備ができているだろうか。

原文はこちら（英語）。

（執筆：Jeremy Goldman/Founder and CEO, Firebrand Group 、翻訳：中村エマ、写真：EtiAmmos/iStock）

This article was translated and edited by NewsPicks in conjunction with IBM.

八田浩
株式会社ロケットスター取締役　共同創業者
・2018年03月12日
"最大2000万ユーロまたは年間売上高の4％──いずれか高いほうを支払わなければならない。"
これは強烈ですよね。本気でEUはアメリカ西海岸の巨人たちと戦う気です。新たな国防くらいに思っているのでしょう。罰則規定も凄いですが、ユーザーオリエンテッドなところもすごい。
"ユーザーがわかりやすく、簡単にアクセスできる形であり、データ処理の目的が明示されていなければならない"
"「忘れられる権利」を法制化したことだ。"
5月から施行。もう間もなくです。最初に罰金を食らうのはAmazon、Google、facebookなど西海岸の巨人か？それともEU内の企業か？
岩崎友和
飛月代表/#Eddie Guerrero Tribute
・2018年03月12日
(国)民一人一人の権利を大事にするEUらしい政策。
しかし、この政策はEU内のデータを活用する企業からも国際競争力を奪ってしまうと思います。
近藤力
通信企業
・2018年03月12日
利益でなく、売り上げの4%、大きいですね。西洋諸国では、資産と位置付けられている「個人情報」を、タダで欧州から米国カリフォルニア企業に吸い上げられることに対する規制なので、何か見せしめがあるかもしれませんね