セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

GDPRから個人情報保護規制の今後を考える

今年1月28日のData Privacy Day[1]に、F-Secureでは、世界で最も影響力を持つ個人情報保護法「GDPR(EU一般データ保護規則)」について考える場を設けました。現在、インターネット上でサービスを提供する企業にはGDPRへの対応が求められています。ユーザー側もまた、GDPRの規約に則ってウェブサイト上に表示される個人情報の取り扱いに関する同意確認を求められるなどの影響を受けています。

ところが、GDPRはここまで取り沙汰されているにも関わらず、それがもたらす影響については不確かな部分も多いように思います。そこで、F-Secureでは個人情報保護規制の変遷を辿り、GDPRが今後世界にどのような影響をもたらすのかを専門家に伺いました。

1995年:「EUデータ保護指令」発令

インターネットの歴史の中でも、1995年という早い時期にこの指令が可決されたという事実に驚く人は多いのではないでしょうか。この指令で個人情報の法的概念が定義され、企業のデータ送信やEU圏外への個人情報の共有制限が設けられました。

2018年5月、「EUデータ保護指令」は「EU一般データ保護規則」に置き換えられました。二つの大きな違いは、GDPRは「規制」であるのに対し、EUデータ保護指令は「指令」であるという点です。EUデータ保護指令は、個人情報保護に関する取り決めを加盟国の法的枠組みに規定することを義務付けるものでした。よって、国ごとに規定される内容にはバラつきがありました。対して、GDPRは法律としてルールを一元化し、EU全加盟国に直接適用されます。

1995年に個人情報保護に関する指令が制定されたのは非常に画期的な出来事でした。現にアメリカ合衆国でさえ個人情報についての法整備は未だなされていません。世界的に見ると、個人情報保護規制は年々厳しくなる傾向にあります。90年代の時点で個人情報を「管理すべき情報」と捉えることは、先を見越した考え方であったと言えるでしょう。

2018年5月:GDPR施行

GDPRはすでに効果を発揮しており、状況も落ち着いてきました。しかしその船出にあたっていくつかの問題も発生しました。消費者のための法律が、他でもない消費者に悪い第一印象を与えたことは、とりわけ残念な問題です。

ヨーロッパ全体で、ウェブサイトでの個人情報提供に関する同意確認に対する消費者の忍耐力が検証されました。個人情報の確認を要求する画面を繰り返し表示するうちに、ユーザーは自身の情報提供に対して無関心になっていきます。SITRA(フィンランド国立研究開発基金)の調査によると、ユーザーの29%は2回目にはGDPRのプライバシーポリシーを一目見ただけで同意するようになりました。とはいえ、調査を受けたユーザーのウェブ上の行動の64%はGDPRによる何らかの影響を受けることが明らかになったため、ひとまずは良いスタートを切れたと言えます。

企業はこの2年間、EU個人情報保護当局が想定していた以上にGDPRへの対応に苦戦しました。施行日直前には、多くのウェブサイトがしばらくの間EU顧客向けのサービス提供を停止することになる可能性が浮上したほどです。Tribune Publishingなどの出版社は、EU圏外からのトラフィックを完全にブロックしていました。USA TODAYなどの他の報道機関では、EU圏内のユーザー向けにストレスを感じないように広告を表示しないウェブページを用意しました。unroll.meやInstapaperなどの他のサービスも、EU圏内のユーザーからのアクセスを制限しています。

今ではこのような苦肉の策を取るサービスも減りましたが、unroll.meのようにEU圏内のユーザーからアクセス制限をしているサービスも依然として存在します。EUがGDPRの施行と適用について広める努力をしていたことは確かですが、EUの官僚と直接的な影響を受ける企業やユーザーとの間には、明らかにコミュニケーションギャップがありました。一方の企業側も、競合他社の対応を窺ったり、GDPR対応に必要なリソースを甘く見ていたりと、2年の猶予期間を活用できませんでした。多くのコンプライアンスガイドラインが公表されたのはGDPRが施行されてからでした。

GDPRが世界に与える影響

人権を守るための法律の制定、自由民主主義の進展、言論の自由の擁護において、EUは自らが中心的な立場にあることを示してきました。では、EU圏外にはどのような影響があったのでしょうか。
MicrosoftのCEO、Satya NadellaはGDPRを賞賛しています。プライバシーと人工知能に関する世界的な規則が定められることで、IT業界に携わる人々が皆、平等な競争条件を持つことを望んでいます。

GDPRはプライバシーを人権として扱うということにおいて素晴らしいスタートを切りました。アメリカでも同様の法整備がなされ、いずれは全世界共通の規則となることを期待しています。– Satya Nadella, Microsoft

AppleのCEO、Tim CookはTIME誌で、データブローカー企業が収集した個人情報をユーザー自らがオンライン上で確認し、必要な場合には削除できるようにする仕組み「Data Brokers Registry」を提唱しました。また、カリフォルニア州では2018年、連邦法に先駆けて個人情報保護法「消費者プライバシー法(CCPA)」が成立しました。カナダの個人情報保護法「PIPEDA」も問題により対処できるよう、最近改正されたばかりです。ブラジルとインドもまた、その流れに追随しています。

6年にわたる議論や修正の後にGDPRが採用され、EUは自らが今後の方向性を決める指導者的立場にあることを示しました。現在世界中で同様の法整備がなされ、実現に向けて議論されている最中です。個人情報がシリコンバレーや中国政府の管理下にある今の世界経済において、EUでは個人の人権を尊重し、ビジネスに役立つ方法で個人情報を使用する三つ目の方法を示しているのです。– Viivi Lähteenoja, MyData Global

コメント:日本企業への影響

EUをはじめとする諸外国の個人情報保護規制の高まりに、日本企業はどのような影響を受けるのでしょうか。本文で述べられていたように、ウェブサービス上でEU圏内からユーザーの宿泊施設や飲食店の予約状況、その他登録情報を取得している企業は特に注意が必要です。万が一これらの情報が流出し、報告を怠った場合はGDPRの制裁金が課される可能性があります。

個人情報保護規制への対応を進めていくためにも、ユーザーデータの取得プロセスや管理状況の把握、強固な情報漏洩対策の仕組みを整備することは、企業のビジネス継続において重要な課題となるでしょう。

脚注

[1]プライバシーの尊重とデータの保護への信頼を確保することをテーマとし、毎年1月28日に行われるデータの守秘と保護に関する意識の向上および議論の喚起のための国際的な取り組みのこと

オリジナル記事情報

The past, present and future of GDPR explained
掲載日:2019年1月19日
執筆者:Tuomas Rantalainen

本記事はF-Secure KKの許諾のもと、オリジナル記事を日本語に翻訳・編集したものです。
当社では、F-Secure社のエンドポイントセキュリティソフト、エフセキュア プロテクションサービス ビジネスを取り扱っております。
F-Secure

記事一覧に戻る