グーグル、フェイスブックを脅かすGDPR 「炎上」の火の粉は日本企業にもかかる恐れ

EU加盟国市民のプライバシー保護目的で定められた「GDPR(EU一般データ保護規則)」には、厳しい罰則が設けられている。グローバルな大企業にとどまらず、日本国内にしか事業所のない企業も規制対象だ。対岸の火事と見過ごさず、適切に対応する必要がある。さっそく「標的」にされたグーグルやフェイスブックを例にあげて現状をみていく。

グーグル、フェイスブックを脅かすGDPR 「炎上」の火の粉は日本企業にもかかる恐れ

GDPRは対岸の火事でない

1か月ほど前から、テレビや新聞などで「GDPR(EU一般データ保護規則)」という言葉がよく取り上げられた。これは、EUが加盟国市民のプライバシーを守る目的で制定した規則であり、EU市民情報の不適切な取り扱いに対し厳しい罰則が設けられている。

GDPRの影響を受けるのは、グローバルな事業展開をしている大企業に限られない。EU市民の情報を扱えば、国内にしか事業所のない会社も規制対象に含まれる。最近になり、以前から使っていたSNSやニュースサイトでプライバシー・ポリシー変更への同意をあらためて求められたことはないだろうか。これも、GDPRの影響のひとつだ。

GDPRは5月末に施行され、待ってましたとばかりに、グーグルやフェイスブックなどの企業を提訴する団体が現れた。違反に対して巨額制裁金の科される状況が、現実になったのだ。

すでに、GDPRの小さな弊害は身の周りでも発生している。対岸の火事と見過ごさず、適切に対応していくためにも、GDPRの現状をみていこう。

日本企業でもGDPRの規制対象になる

GDPR(EU一般データ保護規則)は、EU(欧州連合)が外部への個人情報持ち出しを制限する目的で設けた規則だ。欧州市民のプライバシー保護が目的で、個人情報の保管などに対する安全管理措置の実施、EU域外へのデータ移転原則禁止などが定められている。2016年に制定され、約2年の準備期間を終え、2018年5月25日に施行された。

情報漏えいを起こすと最悪の場合、全世界売上の4%または2,000万ユーロ(約26億円)という巨額の制裁金が科されてしまう。しかも、日本企業であっても、EU域内に事業所を展開していたり、EU域向けサービスを提供していたりすると、GDPRの規制対象になる。EUに拠点を設けていなくても、EU圏内の人からメールアドレスなどの情報を集める際は要注意だ。

GDPRを他人事ととらえず、早急に対応しなければならない。

サイトが閲覧できない事態も

GDPR施行から1か月ほど経過し、GDPRへの対応は着実に広まった。たとえば、毎日のようにアクセスしていたニュース配信サイトやSNSを利用しようとしたら、あらためてプライバシー・ポリシーへの同意を求められなかっただろうか。サイトへの再ログインを要求されたり、メールでポリシー変更の通知が届いたりした人もいるだろう。

その多くは、ユーザーから個人情報を受け取って保管しているサービス。GDPR対応でプライバシー・ポリシーを見直したため、ユーザーの同意を取り直しているのだ。

ここで問題が発生する。GDPR対応の改訂版プライバシー・ポリシーに同意しないと、ユーザーはサービスを利用できなくなってしまう。たとえば、フェイスブックの提示する条件を受け入れないと、フェイスブックが使えなくなる。友人や知人との連絡、イベントの管理などにフェイスブックを使っている人にとっては、大問題である。

また、欧州から米国の一部ニュースサイトが閲覧不能になった、という事態も起きた。これらサイトのユーザー対応は、ユーザーに同意を再度求める、EUユーザー向けサイトを用意する、EUユーザーから情報を集めないなど、さまざまだ。

SNSにしろニュースサイトにしろ、いずれGDPR対応の方策を見つけ出し、混乱は治まるだろう。ただ、しばらくは思わぬところで従来のサービスが利用できなくなるなど、GDPRの影を感じる場面に遭遇すると思われる。

いきなり標的にされたグーグル、フェイスブック

GDPRが施行された当日、グーグルとフェイスブックが欧州のプライバシー保護団体noyb.euから提訴された。フェイスブック傘下企業の、「インスタ映え」で知られるインスタグラムと、世界中にユーザーがいるメッセージング・アプリのWhatsApp(ワッツアップ)も、提訴対象だ。

noyb.euは、「これら4社がプライバシー・ポリシーをユーザーに強制適用しており、同意しない限りサービスを使わせず、自由な選択肢を与えていない」と主張。「このような強制的な同意はGDPRで禁じられている」ため、4社を訴えたという。

個人情報8700万人分の不正アクセスという事件が明るみに出たばかりのフェイスブックにとって、GDPR施行は冷や汗ものだろう。今後、訴訟の流れで不適切な個人情報の取り扱いが発覚したら、さらなる炎上を招き、苦しい立場に追い込まれてしまう。

なぜ今フェイスブックが批判されるのか?4つのポイントを議会との対立から読み解く | ボクシルマガジン
現在のフェイスブックには、大きな悩みが2つある。1つは、2016年の米大統領選挙に影響を与えたとされるロシア関係の...

グーグル自体も、GDPR対応に苦慮している。世界中の人々から検索履歴、YouTube視聴データ、メール、移動履歴、スケジュール、広告アクセスなどの情報を集めており、保有データは膨大でプライバシーだらけだ。グーグルの広告サービス「AdWords」やウェブ・アクセス分析サービス「Analytics」をただ利用しているユーザーも、当然その影響下にある。グーグルはGDPRの情報を整理してAdWordsのヘルプに掲載しているので、目を通しておくとよい。

さらに、GDPR施行後、欧州向けのオンライン広告枠が大幅に減少し、広告売上が落ち込んだ、との報道もある。そして、非難の矛先はグーグルに向いている。こうした混乱は、しばらくのあいだ思わぬ領域で発生するだろう。

日本企業はGDPRにどう対応すべき?

業務で欧州ユーザーの情報を扱う必要があるのなら、GDPRの情報を集め、しかるべき対応をしよう。EUの公式情報にアクセスして対処するのが一番だが、日本語以外で書かれた法律文書であり、敷居は高い。

そこで、日本の個人情報保護委員会が公開している日本語仮訳が参考になる。また、民間企業から提供されるGDPR対応を支援するサービスの導入を考えてもいいだろう。

GDPR違反で制裁金を科せられたとしても、グーグルやフェイスブックのような大企業なら持ちこたえるだろう。しかし、並みの企業には死活問題だ。情報漏えいをきっかけに、致命的な状況に陥りかねない。日本の企業にとってもGDPRは対岸の火事でないのだ。

フェイスブックはGDPR(欧州一般データ保護規則)でマイクロソフトの二の舞になるのか | ボクシルマガジン
個人情報不正流用疑惑に揺れるフェイスブックには米国に加え、欧州・英国議会からも監視の目が光る。EUでプライバシー保...
PwC、GDPRに準拠した72時間以内の侵害通知支援サービスを開始 | ボクシルマガジン
PwCコンサルティングとPwCサイバーサービスは3月29日、EU一般データ保護規則(GDPR)で求められる、個人デ...