[ロンドン 21日 ロイターBREAKINGVIEWS] - 欧州が25日施行する新たな「一般データ保護規則(GDPR)」は、大手テクノロジー業界と個人ユーザーとの力関係に変化をもたらし、天秤を前者に不利な方向へと傾けるだろう。
短期的には、フェイスブックFB.Oやアルファベット傘下GOOGL.Oのグーグルなどの巨大IT企業の方が、中小企業よりも、ユーザーの同意を得て個人情報による利益を得やすいかもしれない。
だが時間が経つにつれて、敵対的な欧州連合(EU)が、強力な新兵器を手にした規制当局を従えて、彼らの前に立ちはだかるだろう。
ここで鍵になるのは何か、項目を追って解説しよう。
●「今後もご協力お願いします(Stay in touch)」というメールが最近多く舞い込んでいるのが、これは誰の責任か
その責任は、もっぱらEU本部にある。
欧州議会は4年かけてGDPRの改正を進めてきた。ほぼシェイクスピアの「ハムレット」と「オセロー」を合わせた長さに相当する約5万6000ワードの同規則は、欧州市民の個人情報を処理する前に明確な同意を得ることを企業らに義務付けている。
この個人情報には、マーケティング用のデータベースに保存される電子メールアドレスも含まれる。
GDPRでは、ユーザーは自身の情報にアクセスし、これを消去、あるいは別のサービスに移動させることができなければならないと定めている。企業はGDPR順守の状況を監督当局が判断できるよう、データ処理の記録を残さなければならない。
GDPRの規定の多くは、すでにEU法や各国の国内法に含まれている内容だ。だが今回GDPRで非常に厳格な罰則が新たに定められたため、各社はデータ保護に向けた取り組みを強化している。
各国監督当局がGDPR違反を発見した場合、違反企業は、2000万ユーロ(約26億円)かグローバル年間売上高の4%のうち、いずれか大きい方の額の罰金を科され、データ処理を禁止されることさえあり得る。
●EUが「データ」と見なすものは何か
法的な定義では、「特定された、もしくは特定可能な存命の個人に関連する、あらゆる情報」とある。実際には、氏名、住所、電子メールアドレス、スマートフォンその他の端末の位置情報、医療記録、IP(インターネット・プロトコル)アドレス、そしてウェブブラウザ上でのターゲット広告に用いられる、「クッキー(cookie)」と呼ばれる識別情報である。
複数の人が共有する電子メールアドレスは該当しない。また、個人を特定するために利用可能である場合を除き、匿名化や暗号化されたデータも該当しない。
●企業行動はどう変化するのか
セクターによって事情は異なるが、中核事業に個人情報の取扱いが伴う企業はすべて、データ保護最高責任者を任命しなければならない。またすべての組織は、データセキュリティに対する侵害があった場合、72時間以内に自国の監督当局に報告しなければならない。
GDPRにおいて重要なのは、何をもってユーザーの同意とみなすかという点に関して高いハードルを設けている点だ。出版社やフェイスブック、ツイッターTWTR.Nのようなソーシャルメディアは、これまで、ユーザー情報へのアクセスを確保するうえで、暗黙の同意や、専門用語の溢れる利用条件に頼っていた。
だが、新GDPRの施行後はそれでは済まない。
個人情報を処理・管理する企業は、「肯定的で自由意志に基づく、具体的で情報に基づき曖昧さのない」許可を得る必要がある。
従来であれば、同意できないデータ収集を拒否するためにはユーザー側が「オプト・アウト(事前拒否)」しなければならなかったが、この変更によって、企業が明確な「オプト・イン(事前承諾)」を得なければならなくなり、ユーザーの負担は企業側にシフトされる。
たとえばフェイスブックでは、先月ユーザーに対し、写真の顔認識機能と収集データの第三者サイトにおける利用に関するオプト・インを要請した。
同様に、電子メールによるマーケティング向けのデータベースを利用する企業は、リストに掲載されたユーザー全員について、詳細な情報が保存されることに積極的な同意を得ていることを示さなければならない。だから上述したメールが膨大に届くのである。
●欧州市民は同意を与えるのか
アンケート調査によれば、欧州市民は同意を与えそうにない。ハブスポット・リサーチが行った3000人以上を対象とした調査では、企業からの電話や電子メールに応じないという回答が約60%に達した。
GDPRに基づく「忘れられる権利」を用いて、自身の記録すべてを抹消することを企業に求めるという回答も同じ割合に達していた。一方、自分のウェブブラウザでターゲット広告や追跡クッキーの受け入れをオプト・アウトすると約半分程度が回答した。
だが、そうした考えと実際の行動にはギャップがある。
フェイスブックが3月、英企業ケンブリッジ・アナリティカがフェイスブックのユーザー数百万人分のプロフィールを収集していたことを認めた後で広がった「#DeleteFacebook(フェイスブックを辞めよう)」運動を例にとろう。
この運動にもかかわらず、フェイスブックの1─3月期業績報告によれば、1日当たりのアクティブユーザー数は欧州で2%、米国やカナダでは1%増加している。
これは何を意味するのか。
フェイスブック、グーグル、アマゾンAMZN.Oといった巨大企業のサービスはあまりにも人々の間で定着しているため、データ収集の不安よりも、オプト・アウトや他サービスへの乗り換えによってユーザーが被るコストの方が上回ってしまうのである。
ウェルズファーゴのアナリストは、フェイスブックとグーグルが今年被る影響は、年間収益の1桁台前半にとどまると見込んでいる。
一方で、さほど不可欠とはみなされないサービスを提供している中小企業は苦労する可能性がある。GDPR順守の負担でコストが上昇する可能性もあり、データに深く依存しているセクターでは、スケールメリットの威力が強まると言えそうだ。
●では、規制強化は大手IT企業にとって朗報なのか
必ずしもそうではない。GDPRの主な狙いは、特に大規模なテクノロジー企業に対抗して消費者により大きな力を与えることにある。こうした大手IT企業による「支配」に戦いを挑んでいる欧州の監督当局は、今回の改正で強力な武器を手にすることになる。
ドイツの例を見てみよう。ドイツの競争規制当局は12月、フェイスブックによる第三者データ利用が市場での支配的地位の乱用に相当するという予備調査の結果を示す際に、GDPRの原則に明確に言及した。それ以降、フェイスブックはユーザーによるオプト・インを必須とするよう規約を改めている。
だが、各国規制当局が全般的に懸念しているのは、一部のウェブサービスの優位性があまりにも強く、実質的に利用条件を消費者に押しつけることが可能ではないか、という点だ。
オプト・インしなければグーグルマップやワッツアップなど誰もが使っているサービスから切り離されてしまうのだとすれば、それは「自由意志に基づく」同意だと言い切れるのだろうか──。
最悪のシナリオでは、規制当局はGDPRに基づく新たな権限を使って、反トラスト法に基づく訴追を行うことができる。
そうなれば、フェイスブックの創業者であるマーク・ザッカーバーグ最高経営責任者(CEO)をはじめとする大手IT企業トップたちも、姿勢を正して関心を注ぐことになるだろう。
*筆者は「Reuters Breakingviews」のコラムニストです。本コラムは筆者の個人的見解に基づいて書かれています。(翻訳:エァクレーレン)
*このドキュメントにおけるニュース、取引価格、データ及びその他の情報などのコンテンツはあくまでも利用者の個人使用のみのためにロイターのコラムニストによって提供されているものであって、商用目的のために提供されているものではありません。このドキュメントの当コンテンツは、投資活動を勧誘又は誘引するものではなく、また当コンテンツを取引又は売買を行う際の意思決定の目的で使用することは適切ではありません。当コンテンツは投資助言となる投資、税金、法律等のいかなる助言も提供せず、また、特定の金融の個別銘柄、金融投資あるいは金融商品に関するいかなる勧告もしません。このドキュメントの使用は、資格のある投資専門家の投資助言に取って代わるものではありません。ロイターはコンテンツの信頼性を確保するよう合理的な努力をしていますが、コラムニストによって提供されたいかなる見解又は意見は当該コラムニスト自身の見解や分析であって、ロイターの見解、分析ではありません。
私たちの行動規範:トムソン・ロイター「信頼の原則」