ここから本文です

「GDPR」vs.「米巨大テック」の潮流をまとめて解説、迫る「クッキー法」への対応は?

6/14(木) 6:55配信

ビジネス+IT

 欧州連合(EU)で個人情報保護の規制を強化する一般データ保護規則(GDPR)が5月25日から施行された。EU域外に個人情報を持ち出すことを原則禁止し、違反した場合は巨額の課徴金が科せられる規制だが、本質的にはデータを独占する米IT大手にコスト増を強いる、EUの通商戦略の一環だ。米国では自国版プライバシー保護規制創設の提言もあるが、欧州のGDPRと中身は似て非なるもの。米欧のデータ保護をめぐるせめぎ合いの理由や将来を探る。

【詳細な図や写真】米『ロサンゼルス・タイムズ』紙は、GDPR施行に合わせて「技術的な問題が解決するまで」欧州からのアクセスを遮断した。写真は、同紙のEU向け通知画面(画像出典:DataBreachToday)

●米国の「デジタル搾取工場」を取り締まるEU

 近年、EUには分裂傾向が目立っていた。各国の政策や運命を欧州議会が地元に相談もなく決めてしまうことに反発して、英国の欧州離脱(ブレグジット)をはじめ、国家主義的なポピュリズムがフランスやドイツなどでも台頭している。

 こうした中で施行されたGDPRは、トランプ政権が仕掛けた「貿易戦争」への悪感情とともに、5億人のEU市民を「横暴な米国」に対して団結させる契機となった。

 欧州市民は、フェイスブックが持つ個人情報がデータ分析企業のケンブリッジ・アナリティカに悪用された問題や後を絶たないデータ流出などにうんざりしていた。また、さらに、米国のデータ使用や保護の基準が業界任せで、ユーザーが情報の非対称性により圧倒的に不利な立場に立たされていることにも苦々しさを感じてきた。歴史的な不信が米国に対して根強い。

 GDPRが採択された2016年に27,000人のEU市民に対して実施された世論調査では、71%の回答者が企業による個人データの共有に拒否感を示している。

 GDPRはデータ保護を「人権」の一部とみなしており、「欧州市民のプライバシーを侵害し放題の“悪い米企業”をEUが取り締まる」という構図が、「EUはITイノベーションでは米競合にかなわないが、きちんと消費者の権利を守るための仕事をしている」と映り、支持されているのだ。

 事実、多くの欧州人が米企業による「デジタル搾取工場」を苦々しく思っている。GDPR施行直後に、オーストリアのプライバシー保護活動家であるマックス・シュレムス氏が、「米フェイスブックや米グーグルはGDPRに違反する同意をユーザーに強いている」と主張し、90億ドル(9832億円)の制裁金を科すことを求める訴えを起こしたのは、一例にすぎない。

●GDPRに準備していた企業はわずか2割

 こうした中、欧州市民や欧州在住者のデータを扱う米企業のうち、GDPR施行の直前に、わずか21%しかコンプライアンスの準備ができていないなど、問題化の予兆がある。準備ができていない米企業や、GDPR施行による法的問題を恐れる米企業は欧州からのアクセスを遮断したり、サービスを停止する処置を取ったりするなど、混乱が広がっている。

 また、米企業がコンプライアンスのためにユーザーに対してデータ使用の許諾を求めるメールを大量送付している。当初、どのような条件に顧客が同意したかさえも記録を残していない企業があるとされ、そのような状態で再同意を求めることはGDPR違反となる恐れもあるという。

 また、一部の米企業は自社がどれだけの個人情報を収集したかさえ把握しておらず、GDPR施行を機にデータ削除を開始している。

 こうした中、全米企業500社番付である「フォーチュン500」の企業だけでGDPRコンプライアンス費用が78億ドル(約8,450億円)に達すると予想され、EUの規制が米企業に大きな出血を強いていることがわかる。

 この結果、米IT企業は欧州とはデータ保護で、また中国とは5G・人工知能(AI)の開発競争で、二正面作戦を余儀なくされる。

●データ・プライバシーに対する、米欧の根本的な違い

 多くの米企業で準備不足が露呈する根本原因は、データやプライバシーに関する、米欧での考え方の根本的な違いに起因する。

 たとえば、米憲法は修正第4条で「プライバシーの権利」を保障しているものの、EUのような「統一された、包括的なプライバシー保護」の枠組みがなく、連邦法と州法の張り合わせにすぎない。

 だが、この個人情報保護に関する規制の緩さこそ、「創造的」なデータの活用を可能とし、欧州にはまねのできないテクノロジー分野でのイノベーションを生むのだと、米国の当局は主張する。

 一方、民主党を中心とするプライバシー保護推進派は、連邦レベルでのデータ保護法の制定に向けて活動してきた。だが、トランプ政権が今年に入って「ネット中立性」に関する規則を撤廃したことで、ブラウザーで第三者によるトラッキングがまん延。ネット取引の記録売買が解禁されてプライバシーが損なわれ、スマートフォンにスパイウエアが組み込まれることなどが懸念される。

 このように、欧州と米国ではプライバシー保護に関して逆の方向に進んでいるといえよう。GDPRでは、ユーザーのデータ収集に関して、「法的根拠があると認められる場合」に限って認めており、その根拠が記録として残されなければならないため、企業側の負担が重くなるからだ。

1/2ページ

最終更新:6/14(木) 6:55
ビジネス+IT

記事提供社からのご案内(外部サイト)

ビジネス+IT

SBクリエイティブ

年2500本超のビジネス・IT系セミナー情報掲載
様々な著名人の話が生で聞ける!
500本超の独自記事も掲載!
他で読めないビジネスとITのヒントがここに。