何がGDPR準拠なのか？　シリコンバレーが「個人情報」で大騒ぎ

国内企業でも温度差が凄いなと感じる本件。
海外に拠点がある様なグローバル企業では、罰金(日本円で約24億とも)もあって大騒ぎになっているが、そうではないドメスティック企業は何処吹く風。
ただキチンと仕組みを理解していないと、ドメスティック企業も痛いしっぺ返しに合うので本当危険。

→ アメリカは、個人のプライバシーに関して真剣に議論されたことがあまりない。ヨーロッパがGDPRでお手本を見せたことだし、今後法的な見直しが行われるのを期待するわ。

これは本当でしょうか？

CLOUD Actがアメリカで成立、プライバシー保護懸念高まる
https://btcnews.jp/27uh8xgv15592/

オンライン上の個人の自由やプライバシー保護を目的に活動する非営利団体Electronic Frontier Foundation（EFF）は、CLOUD Actは綿密な議論や大衆への通知が不十分なまま成立したとして政府を非難している。

EEFボードメンバー
https://www.eff.org/about/board

プライバシーに関してアメリカは活発に議論を行なっている印象がありましたが、私の周りだけでしょうか。

「世界のどんな片隅でサービスをしていたとしても、たまたまEU市民がユーザーになっているとそれでもうGDPRの対象」

これは、誤解かなと思っています。
GDPR は前文23条で、EU内のデータ主体にモノやサービスを提供する意思があるかどうか、はっきりさせるべきだと規定しています。

この趣旨を踏まえれば、たまたま対象になっただけで制裁を受けるとは考えられません。特に日本語のサイトしかないような場合は。米国の場合は、サービス側も当然のようにEUを事業範囲にみていたところが多く、問題は複雑ですが。

ここあたりの理解も、執行や判例が積み重なってくれば進むものと思います。


追記
栗原さんが指摘している部分もその通りで、違うと感じます。
確かにアメリカにはプライバシーの包括法がありません。
オバマ時代に議論されましたが、棚上げになっていると思います。
それは米国が伝統的に政府の過干渉を嫌うためと思われます。

一方で元々いまのプライバシー概念を生んだのは米国ですし、消費者保護の側面からのプライバシー保護はあります。
あとは、先に許諾を取るようにするのか、問題があったら対応できるようにするのかという違いもあります。

捉え方によって、EUから見れば不十分に見えるということではないでしょうか。

ご参考に。
https://globe.asahi.com/article/11529344

AIやデータサイエンスがITの進化とともに飛躍的に発展する中、マスパーソナライゼーションやデジタルオーダーメイドなど市場が個人差に着目するのは必然の流れ。
お客様を情報漏えいの嵐から守り、どう安全、安心、快適にお客様固有のウォンツ、特に無意識のウォンツを満たし、脳を満足させるか。一見、矛盾するかに見える二つの命題。
全ての企業に問われているのでは。
自らも情報ビジネスに関わる一人として、しっかりと認識しなければいけない。自戒。