EUの「GDPR（一般データ保護法）」が示すデータの光と影【第19回】

　EU（European Union：欧州連合）のデータ保護に関する規制「GDPR（General Data Protection Law：一般データ保護法）」が2018年5月25日に施行された。2016年4月27日の採択から2年間の移行期間を経ての施行だ。

　そして2019年1月21日（仏時間）、フランスのデータ保護規制当局であるCNIL（Commission nationalede l'informatique et des libertes：情報処理および自由に関する国家委員会）が米GoogleをGDPR違反で提訴し、5000万ユーロ（約62億円）の罰金支払いを求めた。サービスを利用するための手続きの透明性と情報の義務、広告のパーソナライズ処理の法的根拠に関する違反だとされる。Googleは上訴している。

各国政府はデータの保護と政府によるデータ取得を並行して推進

　GDPRが対象にする個人データは、名前や住所、クレジットカード情報に加え、メールアドレス、IPアドレス、位置情報、EC（Electric Commerce：電子使用取引）の購入履歴などだ。

　規制対象は、EU内に拠点を置くデータ管理者（EU居住者からデータを収集する組織）と、その処理者（データ管理者の委託先としてデータを処理する組織）、およびデータの主体（個人）である。EU域内に拠点がなくても、EU居住者に商品やサービスを提供、もしくはモニタリングする場合は対象になる。

　個人データの処理に関しては、収集・保管・変更・開示・閲覧・削除など、個人データに対して実施される、ほぼすべての行為が該当する。対象の個人データおよび処理過程について特定することが課せられ、利用目的について明示的な同意が得られなければならないとされる。

　データに関しては、内容の確認、消去、取り戻しや移行、マーケティングの制限などが要求できる。データの安全性についても、処理・保管に関する案現措置の義務、情報漏えいの通知義務などを定めている。EU域内から域外への個人データの移転は原則禁止され、要件を満たした場合のみ許可される。

　個人の知る権利や活用の制限を実現するために、GDPR同様の規制が世界各地で考えられている。たとえば中国は、2017年6月に施行したインターネット安全法で、顧客データの国内保存や海外に持ち出す際の審査を義務付けている。

　米国ではカリフォルニア州が2020年に、データ取得の目的や取得しているデータの明示、データを共用する第三者の開示、許可を得ない販売の禁止などをうたった「California Consumer Privacy Act」を施行しようとしている。

　一方で、政府によるデータ取得の動きもある。中国では、すべてのデータは国家の管理下に置かれ、民間企業は必要な認可を取得し、顧客の個人情報を所定の手続きで管理する体制が採られている。

　米国でも、2018年のクラウド法（Clarifying Lawful Overseas Use of Data）が施行されると米政府は、企業が持つ米国民のデータを入手しやすくなる。同様に他国政府もデータ共有協定の基、米企業が持つ自国民に関するデータにアクセスできるようになる。

　これらの動きを知れば、個人としても企業経由でどのようなデータが取得されているのかを知ることは重要だ。

ユーザーのデータを収入に変え新たなユーザーを獲得する

　Googleや米Facebookといった企業は、無料のサービスやコンテンツによってユーザーを集め、そこに広告の場を作り、広告収入を得るビジネスモデルを実現している。Facebookの2018年12月時点のデイリーアクティブ利用者数は15億2000万人に達し、2017年の収入のうち広告収入が98%を占める。Googleのそれは86%である。

　サービス提供によりユーザーが増えれば、ネットワーク効果によりユーザーは、さらに増え、彼らがサービスを活用する際に発生するデータも増える。収集・蓄積した検索履歴や閲覧履歴などからユーザーの興味や関心を判断し、それに沿ったネット広告を表示する仕組みを構築することで、広告主に価値の高い広告掲載場所を提供する。

　この広告収入があるから、ユーザーには無料のサービスと利便性を、さらには興味や関心のある情報を提供できることになる。

　対ユーザーだけでなく、データを解析すれば地域や時間による変化や動向が見つかり、新しいビジネスにつなげることもできる。結果、GoogleやFacebookは株式時価総額で世界のトップ10入りを果たし成長を続けている。これらの企業に対し、デジタルエコノミー課税や規制が検討されている。実際EUでは、競争法違反や売上高に応じた課税が進められている。