EU域内の個人をよりしっかりと守り、企業への要求や文書化義務をより厳しくする。そのルールを明文化したものが、施行からちょうど2年が経過した「EU一般データ保護規則(GDPR)」です。 GDPRのそもそもの目的は、インターネット時代における基本的人権の保護と、際限なくデータを食い物にする情報社会に待ったをかけることでした。

多くの無料サービスは、高い代償と引き換えに提供されています。 ユーザーは、体系的な監視、追跡、スコアリング、プロファイリングを許す代わりに、経済的不利益を被ったり、差別や心理操作の対象となり得てしまうのです。パーソナライズされた広告は一見すると便利に見えますが、うまい話には裏があります。

例えば、アルゴリズムを利用して、ユーザーの居住地域が高級住宅地かどうか、年齢、信用度、所有するスマートフォンが高級機種かどうかなどを解析し、そのユーザーが購入を決定するであろう価格を高確率で予測します。そのうえで商品や価格を変動させ、利益の最大化を図るのです(いわゆる「ダイナミック・プライシング」といわれる手法です)。

米国では、求人ポータルサイトで女性が男性よりもはるかに低賃金の仕事を紹介されたり、住宅情報サイトでユーザーの肌の色によって表示される物件が異なるケースも報告されています。複数のプラットフォームに提供されたデータ、写真、プロフィールを組み合わせれば、ユーザーの全体像を把握することは難しくありません。アルゴリズムは、ユーザー自身よりもユーザーのことをよく知っているのです。
さらに、FacebookなどのSNSプラットフォームは、ユーザーが心理的に不安定な状態か、経済的、個人的、健康上の問題を抱えているかなどを検知し、その弱点をついて、通常ならあり得ない決断をするよう、巧みに誘導することもできてしまいます。

このように、個人は企業に対して圧倒的に不利な立場に立たされています。GDPRはこうした「インターネット時代における個人と企業の間に生じる不均衡と情報の非対称性の是正」を目的とした法律なのです。

データ保護違反に対する「罰金」

GDPRの遵守を徹底させるために、データ保護監督機関の権限が強化され、十分な抑止力となりえる制裁金が導入されました。 具体的には、違反の際には最大2000万ユーロまたは全世界売上高の4%(いずれか高い方)の制裁金を命じることができるようになりました。

実際に、2019年の初めにフランスの監督当局は、データ処理の透明性を欠いているとして、Googleに5000万ユーロの制裁金を科しています。 さらに7月には、技術的および組織的措置が不十分だったために大規模なデータ漏洩が発生したとして、ブリティッシュ・エアウェイズに2億ユーロ、マリオット・ホテルに1億1000万ユーロの制裁金が言い渡されました。

ドイツでこれまでに科された制裁金の最高金額は、不動産会社Deutsche Wohnen SEに対する1450万ユーロで、入居者の機密情報を必要以上に長く保存していたとして支払いが命じられました。

実はFacebook Germany GmbHに対しても、ドイツ当局からわずか5万1000ユーロという少額の制裁金が命じられたことがありましたが、その理由は同社が「データ保護オフィサー(DPO)を規定通りに届け出るのを忘れていた」というものでした。一方、オーストリアでは、Facebookに対する訴訟は5年間続いており、その制裁金は、理論上は数十億ユーロにも上る可能性があります。

特徴的なのは、米国のFacebook、Google、Amazonのような巨大IT企業においては、個人データの体系的な分析と収益化こそがビジネスモデルの中核をなしていますが、ドイツや日本企業の場合は、過失または不十分なITセキュリティが原因でデータ保護違反に問われることが多いようです。

GDPR実行の鍵となる「データ保護オフィサー(DPO)」

ドイツでは通常、従業員数20名を超える企業はデータ保護オフィサー(DPO)を任命することが義務付けられています。実際には、これより小規模であっても、外部のDPOを利用している企業は多く、DPOは責任者(経営者)が法的要件を実行・遵守するための補佐をしたり、従業員の研修を行います。

DPOは技術、法律、経営に関する幅広い知識を持っていなければならず、データ保護に関する多方面(顧客、従業員、利害関係者、監督当局)からの、あらゆる質問の最初の窓口となります。また、企業の利益とデータ主体(個人)のプライバシー保護の両方を中立的に扱えるよう、守秘義務を有し、指示に拘束されない(誰からも指示を受けない)という特徴があります。

そのため、経営者、人事部長、IT責任者、または業務委託されたIT事業者をDPOに任命することはできません。 同様に、自社の顧問弁護士がDPOになると、公平性を保つことができず、利益相反が避けられないため、顧問弁護士をDPOに任命することも禁じられています。

日本・EU間の十分性認定

日本の個人情報保護法では、DPOという役職は規定されておらず、データ保護違反に対する制裁金も最大50万円、つまり5000ユーロにも満たない額にとどまっています。 日本が欧州ほどデータ保護にこだわらないのはこのためなのでしょうか。 このような差があるにも関わらず、日本とEUは互いにデータ保護の水準が十分であることを認め、2019年1月23日より、日本は「安全な第三国」とされています。十分性認定は、「法の支配、人権と基本的自由の尊重」という意味では大変意義深い成果といえますが、実務レベルではまだまだ課題は山積みです。

参考資料:
ドイツ IT・通信・ニューメディア産業連合会(Bitkom):サイバー攻撃による年間被害総額1000億ユーロ

日本のデータ保護に関する法律(Data Protection Law Japan)