第36回 GDPRの施行から2年を振り返って
今さら聞けない「GDPR」とは?
欧州連合(EU)域内の個人をしっかりと守り、企業への要求や文書化義務をより厳しくする「EU一般データ保護規則(GDPR)」。今年5月で、施行からちょうど2年が経過した。
GDPRのそもそもの目的は、インターネット時代における基本的人権の保護と、際限なくデータを食い物にする情報社会に待ったをかけること。多くの無料サービスは、高い代償と引き換えに提供されている。例えば、アルゴリズムを利用して、ユーザーの居住地域が高級住宅地かどうか、年齢、信用度、所有するスマートフォンが高級機種かどうかなどを解析し、そのユーザーが購入を決定するであろう価格を高確率で予測。その上で商品や価格を変動させ、利益の最大化を図るのだ(いわゆる「ダイナミック・プライシング」)。
米国では、求人ポータルサイトで女性が男性よりもはるかに低賃金の仕事を紹介されたり、住宅情報サイトでユーザーの肌の色によって表示される物件が異なるケースも報告されている。複数のプラットフォームに提供されたデータ、写真、プロフィールを組み合わせれば、ユーザーの全体像を把握することは難しくない。
このように、個人は企業に対して圧倒的に不利な立場に立たされている。GDPRはこうした「インターネット時代における個人と企業の間に生じる不均衡と情報の非対称性の是正」を目的とした法律なのだ。
データ保護違反に対する罰金
GDPRの遵守を徹底させるために、データ保護監督機関の権限が強化され、十分な抑止力となりえる制裁金が導入された。具体的には最大2000万ユーロ、または全世界売上高の4%のいずれか高い方の制裁金を命じることが可能となった。
実際に、2019年の初めにフランスの監督当局は、データ処理の透明性を欠いているとして、グーグルに5000万ユーロの制裁金を科している。さらに7月には大規模なデータ漏洩が発生したとして、ブリティッシュ・エアウェイズに2億ユーロ、マリオット・ホテルに1億1000万ユーロの制裁金が言い渡された。ドイツでこれまでに科された制裁金の最高金額は、不動産会社Deutsche Wohnen SEに対する1450万ユーロで、入居者の機密情報を必要以上に長く保存していたとして支払いが命じられている。実は、フェイスブック・ジャーマニーに対しても、ドイツ当局から5万1000ユーロという少額の制裁金が命じられたことがあったが、それは同社がデータ保護オフィサー(次項参照)を規定通りに届け出るのを忘れていたからだった。
ポイントは「データ保護オフィサー(DPO)」
ドイツでは通常、従業員数20名を超える企業はデータ保護オフィサー(DPO)を任命することが義務付けられている。実際には、これより小規模であっても外部のDPOを利用している企業は多く、DPOは責任者(経営者)が法的要件を実行・遵守するための補佐をしたり、従業員の研修を行う。
DPOは技術、法律、経営に関する幅広い知識を持っていなければならず、データ保護に関する多方面(顧客、従業員、利害関係者、監督当局)からのあらゆる質問の窓口となる。また、企業の利益とデータ主体(個人)のプライバシー保護の両方を中立的に扱うため、守秘義務を有し、指示に拘束されない(誰からも指示を受けない)という特徴がある。そのため、経営者、人事部長、IT責任者、または業務委託されたIT事業者をDPOに任命することはできない。同様に、利益相反が避けられないため、顧問弁護士のDPO任命も禁じられている。
日本・EU間の十分性認定
日本の個人情報保護法では、DPOは規定されていない。また、データ保護違反に対する制裁金も最大50万円にとどまっている。 日本が欧州ほどデータ保護にこだわらないのは、このためかもしれない。
このような差があるにもかかわらず、日本とEUは互いにデータ保護の水準が十分であることを認め、2019年1月23日より、日本は「安全な第三国」とされている。十分性認定は、「法の支配、人権と基本的自由の尊重」という意味では大変意義深い成果といえるが、実務レベルではまだまだ課題は山積みだ。
SNSはアルゴリズムを用いて、ユーザーの弱点を検知し、巧みに誘導することができてしまう