第36回 GDPRの施行から2年を振り返って

快適ITライフのために知っておきたい
初めての情報セキュリティー

PCのウイルス感染による個人情報の漏えい、インターネットを利用した犯罪などが急増する昨今、ITの専門家だけでなく、使う側のITリテラシーが問われている。ITコンサルタントのドクター・グンプ氏に、人類総インターネット時代の新常識を学ぶ。

Dr. Hermann Gumpp ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学（LMU）や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所（NII）での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。

今さら聞けない「GDPR」とは？

欧州連合（EU）域内の個人をしっかりと守り、企業への要求や文書化義務をより厳しくする「EU一般データ保護規則（GDPR）」。今年5月で、施行からちょうど2年が経過した。

GDPRのそもそもの目的は、インターネット時代における基本的人権の保護と、際限なくデータを食い物にする情報社会に待ったをかけること。多くの無料サービスは、高い代償と引き換えに提供されている。例えば、アルゴリズムを利用して、ユーザーの居住地域が高級住宅地かどうか、年齢、信用度、所有するスマートフォンが高級機種かどうかなどを解析し、そのユーザーが購入を決定するであろう価格を高確率で予測。その上で商品や価格を変動させ、利益の最大化を図るのだ（いわゆる「ダイナミック・プライシング」）。

米国では、求人ポータルサイトで女性が男性よりもはるかに低賃金の仕事を紹介されたり、住宅情報サイトでユーザーの肌の色によって表示される物件が異なるケースも報告されている。複数のプラットフォームに提供されたデータ、写真、プロフィールを組み合わせれば、ユーザーの全体像を把握することは難しくない。

このように、個人は企業に対して圧倒的に不利な立場に立たされている。GDPRはこうした「インターネット時代における個人と企業の間に生じる不均衡と情報の非対称性の是正」を目的とした法律なのだ。

データ保護違反に対する罰金

GDPRの遵守を徹底させるために、データ保護監督機関の権限が強化され、十分な抑止力となりえる制裁金が導入された。具体的には最大2000万ユーロ、または全世界売上高の4％のいずれか高い方の制裁金を命じることが可能となった。

実際に、2019年の初めにフランスの監督当局は、データ処理の透明性を欠いているとして、グーグルに5000万ユーロの制裁金を科している。さらに7月には大規模なデータ漏洩が発生したとして、ブリティッシュ・エアウェイズに2億ユーロ、マリオット・ホテルに1億1000万ユーロの制裁金が言い渡された。ドイツでこれまでに科された制裁金の最高金額は、不動産会社Deutsche Wohnen SEに対する1450万ユーロで、入居者の機密情報を必要以上に長く保存していたとして支払いが命じられている。実は、フェイスブック・ジャーマニーに対しても、ドイツ当局から5万1000ユーロという少額の制裁金が命じられたことがあったが、それは同社がデータ保護オフィサー（次項参照）を規定通りに届け出るのを忘れていたからだった。

ポイントは「データ保護オフィサー（DPO）」

ドイツでは通常、従業員数20名を超える企業はデータ保護オフィサー（DPO）を任命することが義務付けられている。実際には、これより小規模であっても外部のDPOを利用している企業は多く、DPOは責任者（経営者）が法的要件を実行・遵守するための補佐をしたり、従業員の研修を行う。

DPOは技術、法律、経営に関する幅広い知識を持っていなければならず、データ保護に関する多方面（顧客、従業員、利害関係者、監督当局）からのあらゆる質問の窓口となる。また、企業の利益とデータ主体（個人）のプライバシー保護の両方を中立的に扱うため、守秘義務を有し、指示に拘束されない（誰からも指示を受けない）という特徴がある。そのため、経営者、人事部長、IT責任者、または業務委託されたIT事業者をDPOに任命することはできない。同様に、利益相反が避けられないため、顧問弁護士のDPO任命も禁じられている。