欧州連合(EU)は2年前、世界で最も厳しいデータプライバシー規則を導入し、ユーザーの個人データから利益を得ていた世界のIT大手に警告を発した。
一般データ保護規則(GDPR)は、EU市民のプライバシーの権利を守ることを目的とした広範囲に及ぶ規則だ。データ保護違反に対して、2000万ユーロ(約23億円)または前会計年度の世界売上総額の最大4%のいずれか高額な方という、過去に前例のない額の制裁金を科すことが可能となっている。
GDPRの施行から丸2年となる現地時間5月25日時点で、EUがシリコンバレーのIT大手に制裁金を科した例は2件しかない。1件目はFacebookのドイツ子会社に対し5万1000ユーロ(約600万円)が、2件目はフランスで「Android」をめぐってGoogleに5000万ユーロ(約59億円)が科された。これに対し、なぜそれほど時間がかかるのかと、多くのプライバシー擁護派は苛立っている。
このような制裁の少なさは、IT大手にGDPRを順守させる任務を負う規制当局が直面する課題を浮き彫りにしている。IT大手はかなりの人数の弁護士を雇っているのに対し、そうした企業を監視する仕事の多くは、欧州の法制度の都合から、規模が小さく資金も乏しいアイルランドのデータ保護委員会(DPC)が一手に引き受けているのだ。
GDPR施行後2年間の静けさは、同規則が全世界に及ぼしている影響について誤った印象を与える。GDPRが施行されたことで、世界各国の規制当局や立法者の間でEUへの注目度が高まり、ブラジルやインドのほか、多くのIT大手が本拠地とするカリフォルニア州でも、同様の規制が導入されるきっかけとなった。2つの異なるプライバシー基準に従うのは合理的でないため、IT企業は、欧州だけでなく世界中で自社のプライバシーポリシーや情報公開のルールを変更しなくてはならなくなった。
そして今後はさらに多くの動きが見られると、業界ウォッチャーは予測する。規制当局はただ、これらの制裁に説得力をもたせるために時間をかけているだけだ。
目下のところ、Apple、Facebook、Google、TwitterなどIT大手を規制する当局となっているアイルランドに注目が集まっている。企業が欧州本社を置く国に苦情が集約される決まりになっているために、アイルランドはそれらのIT大手すべてを対象とする複数の調査(Facebookが8件、Twitterが3件、Appleが2件、Facebook傘下のWhatsAppが2件、Googleが2件、Facebook傘下のInstagramが1件)を同時進行で抱えているのだ。
DPCが抱える課題は取り扱う件数だけでなく、膨大な業務に対して予算が少なすぎることだ。
プライバシー重視のブラウザーを提供するBraveは2020年に入って、欧州各国の規制当局の年間予算などを調べた報告書を公開した。DPCの予算は上から7番目で、わずか1690万ユーロ(約20億円)だった。最大だった英国情報コミッショナーオフィスの予算はその4倍近い。
DPCは声明で、予算はこれまで大幅に増えており、それにより2014人には約30人だった職員の数を2020年には175人にまで増やすことができたと述べ、「しかし、この成長は続けるべきであり、そのため来年にはさらに予算を増額できるよう取り組んでいる」とした。
当局がIT企業に対して行動の変化を求めることも、大きなニュースとなる。罰金も大きく報じられるが、当局にとってそれだけが法執行のための手段ではない。それに巨大IT企業にとっても、最も恐れるべきものではない。
例えばGoogleが科されたGDPRの罰金は5000万ユーロだ。非常に高額に思えるが、実際は同社が1日で得る売上高のほんの一部にすぎない。
規制当局は企業に対し、一時的または恒久的にデータの収集や処理を停止するよう命じることもできる。このことは企業のビジネスモデルを破壊し、中核的な製品に大きな変更を加えることを余儀なくさせる可能性がある。
欧州のプライバシーはまだ初期段階であることに留意すべきだと、Morrison&Foersterでグローバルプライバシーおよびデータセキュリティ慣行を統括するAlex van der Wolk氏は指摘する。調査や執行などの手続きは、確立するまでに何年もかかる。
巨大IT企業への厳しい制裁を望む人々は、今後それほど長く待つ必要はないかもしれない。DPCがTwitterに対する初の決定を発表する準備を進めているためだ。その後にはWhatsAppとFacebookに対する決定も続くとみられる。これについては、罰金のみに留まらない制裁を望む向きもある。データプライバシーを専門とするコンサルティング会社Castlebridgeでトレーニングを統括するKatherine O'Keefe氏は、「実効的な制裁は行動の変化を求めるものでなければならない」と語る。「それこそが、DPCなど規制当局が持つ力であり、われわれが期待すべきものだ」
データ保護のための規制はGDPR以前から存在していたが、それほど脅威として捉えられていなかった。GDPRによって、少なくともそうした脅威が現実味を帯び、人々のプライバシー権を侵害した企業に厳しい制裁を科すことが可能になった。もしかすると今後何年にもわたってIT業界に変化を促す、金字塔的な規則となるかもしれない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス