1. HOME
  2. 特集
  3. デジタルプライバシー
  4. 「GDPR」がやってくる インターネットの世界を変える、世界一厳しい新ルール

「GDPR」がやってくる インターネットの世界を変える、世界一厳しい新ルール

World Now 更新日: 公開日:
欧州議会がGDPRを採択したのは2016年。議論に4年の歳月をかけた photo: Nishimura Koji

プライバシーの警官・欧州

世界のプライバシーの警官。厳しい規制を持つことからそう呼ばれているのが、欧州だ。

「ドイツが、ネットにつながる『IoTおもちゃ』の販売を禁止した」――。

昨年2月、こんなニュースが世界を駆け巡った。対象は、女の子の人形「マイ・フレンド・ケイラ」。話しかけた音声をネットに送り、AIによる答えを返す。ドイツ連邦ネットワーク庁の広報担当オラフ・ピーター・ユールは「持ち主が気づかないうちに、その周囲の音を集めることができる可能性がある。こうした機器はドイツでは違法です」と説明した。

欧州でも、ドイツは「監視」という行為に最も厳しい国の一つだ。公共空間のビデオ監視も、公共機関の任務や、家の保護といった例外を除いて原則禁止。ドライブレコーダーも、ほぼ見かけない。

なぜ、そこまで厳しいのか。かつて連邦データ保護・情報自由監察官を務め、今はプライバシー保護団体代表のペーター・シャール(63)は「私たちが少し違うとすれば、データをすべて握って国民を支配しようとした政権を、実際に経験したことでしょう」と言った。

ドイツのペーター・シャール photo: Nishimura Koji

最たる悪例が宗教、人種といった国勢調査のデータをユダヤ人迫害に悪用したナチスだ。IBMが開発したパンチカードなど、当時の最新の技術がデータ処理に使われた。その負の経験は、欧州各国に広く共有されている。

ドイツでも、IoT社会は広がっている。スマホの普及率は約7割。各地の家電量販店ではスマートスピーカーも人気だ。シャールは言う。「IoTの危険を気にしない人は多い。データの悪用例が、まだ少ないからだ。といって国までが悪用の危険を無視するのでは、考えが足りない。新しい技術の普及のためにこそ、適切なルールが必要だ」

世界が注目するEUの新ルール「GDPR

そんな欧州で今年5月、「世界一厳しい」と言われる個人データ保護のルールの運用が始まる。欧州連合(EU)のGDPRGeneral Data Protection Regulation=一般データ保護規則)。EUに向けてビジネスをしていれば、日本を含めて世界中どこの企業でも対象になる。

GDPRは世界の新しい基準になっていくでしょう」。1月下旬、「欧州の首都」ベルギー・ブリュッセルで会ったヤン・フィリップ・アルブレヒト(35)は、自信たっぷりに言った。GDPRの立法化を担当した欧州議員だ。

GDPRの特徴は、ネット社会に向き合うための新しい個人の権利を、はっきりうたっていることだ。 GDPRでは個人は「データ主体」。つまり、データの本来の持ち主といったような位置づけだ。企業は個人の同意なくデータを集めることはできないし、集めたデータも、持ち主が「返してほしい」と言った場合は返すべきだ、といった考え方が根底にある。

GDPRに新たに盛り込まれた「消去権(忘れられる権利)」は、グーグルなどの検索サイトなどに残る個人情報は永遠ではなく、目的が失われれば消される権利があるという考え方だ。 

また、「データポータビリティー権」という新しい考え方も盛り込まれた。これは、「データ主体」たる個人がネット事業者にデータを預けている場合、それは個人の意向によって移すことができるべきだ、という考え方だ。

たとえばオンラインショップに購入履歴を残していた利用者が別のショップに乗り換える場合、購入履歴もそちらに移せるということになる。動画の視聴サービスを利用した場合の、見た作品の履歴なども対象になる。

ヤン・フィリップ・アルブレヒト photo: Nishimura Koji

AIによるプロファイリングなど、コンピューターの自動的な判断が、就職試験や融資の判断などに使われることにも対応した。 例外をのぞいて、コンピューターの自動的な判断だけで、個人に重大な影響を与える決定をすることを禁じたのだ。逆に個人には、コンピューターによる分析手法を知る権利や、最終的な判断に「人を関与させる権利」があるとした。

AIが進化してコンピューターの推測が精密になると、その判断はより強く信じられるようになるだろう。だが人が設計する以上、コンピューターにもミスはありうる。その時、人となら話をして信頼関係を築ける」とアルブレヒトは言う。

データの扱いなどを誤ってこうした個人の権利を侵害したと判断されれば、ルール違反として巨額の制裁金が待っている。最高で2000万ユーロ(約26億円)か、違反企業の「世界中の年間収入の4%」の多い方。欧州で日本企業の法的支援を担う弁護士の杉本武重は「EUは、独占禁止の分野では、何百億円という制裁金を科してきた。同じことがデータ保護の分野でも起こりうる」とみる。

世界中から個人データを集め、それをもとに巨額の広告収入を得てきた米国のIT大手も、この流れは無視できない。

1月下旬、ブリュッセルで講演した米フェイスブックの最高執行責任者、シェリル・サンドバーグ(48)は言った。

EUは(プライバシーの)基準をつくっている。私たちはこれから、核となるプライバシーの設定を1カ所でできる『プライバシーセンター』をつくり、広告への理解を進めるキャンペーンも展開していく」

欧州の哲学・米国の哲学

デジタル時代のプライバシーをどう考えるか。欧州と米国ではそれぞれ異なる哲学が背景にある。

2015年、欧州司法裁判所は、欧州と米国が個人データの移転のために結んでいた協定を「無効」とした。「米国はデータ保護が不十分」との判断で、米国政府による監視への不信感が背景にあった。

欧州と米国のデータ移転の協定を無効とする訴訟を起こしたマックス・シュレムス photo: Nishimura Koji

欧州からデータが移せないと、米国のIT大手には大きな影響が出る。結局、米欧は16年に新しい協定を結び、データのやりとりが途絶える事態を避けた。

訴訟を起こしたオーストリアの弁護士マックス・シュレムス(30)は、「欧州では、まず『ルールはどうか』と考えがちだが、米国は『やってみて、問題があれば法廷で決着をつける』土壌。だからこそ、訴えを起こした」と言った。

EUがデータ保護で米国に厳しいのは、世界のIT市場を席巻するのが米国企業だから、とも言える。ドイツのカルテル庁がフェイスブックを調べるなど、競争政策当局も動き出している。

AIなどのIT分野では、データを集めるほど開発は進めやすい。「やってみる」体質で急成長した米国企業を前に、欧州の産業界には「複雑な規制のおかげで米国に遅れた」という声すらある。

実はGDPRの制定にも、統一ルールを置くことで、一つの「デジタル市場」をつくっていく狙いがあった。

データ分析大手の米アクシオムで、欧州プライバシーオフィサーを務めるサチコ・ショイイングは「デジタル経済で成長するには、データ流通は欠かせない。欧州では個人データの扱いを誤れば経営に大きく響くだけに、統一ルールができたことは歓迎できる」と言う。

米アクシオムのサチコ・ショイイング photo: Nishimura Koji

一方で、米欧には根本的な哲学の違いもあるとの指摘もある。中央大学准教授(憲法、情報法)の宮下紘は、「対立軸は『人間の尊厳』を重視する欧州と、『個人の自由』を核心に置く米国との違い」と説明する。

身分制社会やナチスの時代を経験し、個人の尊厳を守る強い規制を持つのが欧州。一方の米国では「自宅に入られない自由」や「盗聴されない自由」など、個人の自由を守るという観点でプライバシーの考え方が育ってきたという。

米国では、金融や医療など個別の分野や、州ごとに規制がある以外は、業界の自主規制が中心。EUのように全体を縛るルールはない。あくまで「個人の選択の自由」が重要視されるからだ。

中央大の宮下紘 photo: Nishimura Koji

ただ、消費者保護の面から、連邦取引委員会がプライバシー侵害を監視している。違法企業への制裁に加え、プロファイリングや閲覧履歴の追跡など新しい課題への対応も進めている。(文中敬称略)