もし辞書が単語だけでなくその年の頭字語も表彰するとしたら、GDPR が受賞するだろうと私たちは賭けるでしょう。
2018 年の初めには、これらの 4 文字は、非常に悪質なセールストーク、迷惑な電子メール、または「コンピューターが拒否した」スタイルの言い訳が届くことを知らせるだけのものでした。
しかし、年が進むにつれて、データ収集スキャンダルが起こり、違反が次々と報道されるようになり、EUの一般データ保護規則が本格的に施行されるようになりました。
これは、欧州の議員らが大手IT企業との戦いについて包括的な声明を出すための便利な足掛かりを提供しただけでなく、大西洋の反対側にいる同業者の一部からも歓迎された。
GDPRマゲドン:もう終わったと思っている人もいるかもしれないが、実は始まったばかりだ。
続きを読む
「カリフォルニア州消費者プライバシー法は、おそらくGDPRの最も重要な成果だ。GDPRは、その弱点にもかかわらず、EUとその他多くの国の個人データの包括的な概念を米国の法典に取り入れた」とユニバーシティ・カレッジ・ロンドンの研究者マイケル・ヴィール氏は述べた。
もちろん、米国の政策立案者が GDPR を見て、自国のデータの保護を強化する必要があると判断したというだけではない。
むしろ、こうした議論は、巨大テクノロジー企業が社会に及ぼし得る影響の実例によって促進されてきた。巨大デジタル企業を経営しているのはジーンズをはいたオタクではなく、冷酷なビジネスマンであることに徐々に気づき始めており、それらに対して行動を起こすよう求める世論の圧力が高まっているのも言うまでもない。
このことを最もよく例証しているのは、マーク・ザッカーバーグ氏が12月に英国議員によって公開された内部メールで述べた、FacebookユーザーがFacebook上でコンテンツを共有する最善の方法に関する発言だろう。このアイデアは、ソフトウェアメーカーに専用アプリを開発させ、Facebookがそれに接続するというものだった。ザッカーバーグ氏はこのアイデアについて、「世界にとっては良いことかもしれないが、私たちにとっては良くない。人々がFacebookでコンテンツを共有し、そのコンテンツが私たちのネットワークの価値を高めない限りは」と述べた。
同時に、企業――データ吸い上げ業者から日々利用する小売業者まで――が、自分たちについてどれほど多くの情報を保有し、どのように金儲けに利用しているかが、人々の心に徐々に芽生えてきた。「お金を払わない人は、商品だ」という、もはや古臭い格言は、今年あまりにも使い古されたため、もはや時代遅れと言えるだろう。
「データ保護の重要性は今ほど高まったことはありません。かつてないほど多くの人がデータ保護とプライバシーについて考えています」とコンサルタントのティム・ターナー氏は語った。
これは深い理解にはつながりません。アドテックやデータブローカー業界に関する詳細な知識を持っていると主張できる人はほとんどいません。優れた実践例さえありませんが、基礎にはなります。
「データ保護とプライバシーを気にする人には、基盤となるものがあり、私たち全員がその機会を追求すべきだ」とターナー氏は語った。
ビジネスの世界では、企業はこうした大衆の意識の高まり、つまり「テックラッシュ」(オックスフォード辞書の今年の言葉の最終候補に挙がった)という現実に直面しており、中には他社よりもうまく対処している企業もある。
企業のコンプライアンス支援を行っているインターネット法の専門家、ヘザー・バーンズ氏は、GDPRは特定の種類のビジネスの間に明確な境界線を引いていると述べた。
「今回の調査によって、プライバシー・バイ・デザインがユーザーエンパワーメントの強力なツールであることに気づき、GDPRをイノベーションの出発点として活用している企業と、5月26日に終了したPRキャンペーンのマーケティング戦略としてGDPRを利用することしか考えていなかった企業が明らかになりました」と彼女は述べた。「5年後も存続している企業がどれなのか、私には分かります。」
GDPR の力により、私はあなたに命じます!
法律そのものに焦点を当てると、GDPR は個人にいくつかの権利(その一部はすでに存在していた)を与え、規制当局に新たな権限を与えています。
GDPRが施行される前、悲観論者は、新規制の下では無料となった個人情報アクセス要求(SAR)が大量に発生し、企業に支障をきたし「救急車追跡者」を助長する可能性があると主張していた。
Facebookがユーザーのウェブ活動に関するデータの提供を拒否したとしてアイルランドのデータ保護委員会から調査を受けているなど、いくつかの事例は発生しているものの、実際には、焦点はデータ侵害に置かれています。
その大きな理由は、規則に違反した組織に課せられる巨額の罰金であり、罰金は50万ポンドから最高1700万ポンド(2000万ユーロ)、つまり年間売上高の4%にまで上昇する。
この数字は大きな見出しになるが、これまでのところ、新制度のもとで罰金を公表したのはドイツ(チャットアプリに2万ユーロ)、オーストリア(CCTVの違法使用に4,800ユーロ)、ポルトガル(病院のスタッフがデータに違法にアクセスできるようにしたとして40万ユーロ)の3カ国のみである。
一方、GDPRに基づく英国初の執行通知は、やや期待外れに終わった。カナダのデータ収集業者AIQに対し、自社のシステムから英国のデータを消去するよう求める内容だったが、AIQがカナダのデータ保護当局の調査中であり、調査が終わるまでは何も削除すべきではないと訴えたため、文言は修正を余儀なくされた。
「GDPR施行通知の最初のような画期的なものが、このように中途半端なものだったことに驚いている」とターナー氏は語った。
しかし、規制当局は最初から、ムチよりもアメを使うつもりだと明言していたため、最初の9か月以内に2000万ユーロの罰金が科されるとは誰も予想していなかった。
そしてもちろん、今年科された罰金の多く、そしてFacebookやEquifaxのような最も注目を集めた調査のいくつかは、2018年5月25日より前に起こった事件に関連しています。
しかし、ヴィール氏は、GDPRの下で強化された他の権利と義務ではなく、データ侵害に焦点が当てられていることで、「これまでのところ、変革の影響は、長らくデータを流出させてきた航空会社やホテルなどの怪しげで不誠実なデータ管理者に大きく限定されている」と述べた。
大手プラットフォームはデータ漏洩に対して比較的安全である傾向があるが、ヴィール氏は、2019年にはアクセス権、異議申し立て、公正かつ合法的な処理など、大手プラットフォームに影響するGDPRの部分への移行が見られることを期待していると述べた。
ターナー氏は、これらの主題の権利は「まだまったく検討されていない」ことに同意した。
「SARmaggedon については大いに騒がれましたが、ポータビリティがどのように機能するかはわかっていませんし、忘れられる権利に関する興味深い事例もまだありません。人々が GDPR を使って、自分に関する自動決定がどのようになされるかを探ることができる範囲は未検証です」と同氏は述べた。
「それは爆発しなかった爆弾のようなもので、まだ時を刻んでいるのか、それとも不発弾なのか分からない。」
反社会的ネットワーク
今年、データ保護とプライバシーに関するニュースの見出しを飾ったのは、ある企業とその急速な転落劇だった。
フェイスブックの崩壊はデータ収集に関する暴露によって早まったのかもしれないが、曖昧な謝罪とザッカーバーグ氏が誰にも明確な回答を与えようとしなかったことで、同社は危機から立ち直ることができなかった。
多数のバグ、侵害、データ取引が年間を通じて続いたため、政府の調査や公民権団体によるボイコットにつながり、事態はさらに悪化した。
一方、人々を繋ぐというシンプルな使命を持つ企業として自らを描き続けようとするフェイスブックの努力は、ミャンマーの大量虐殺における自社の役割を認め、ソーシャルネットワークの内部構造の詳細が明らかになるにつれ、ますます必死で偽善的なものに見えるようになった。
同社は、ユーザーデータを販売したことはなく、今後も販売しないというメッセージに固執していたが、一方で、契約を獲得し、開発者をプラットフォームに呼び込むためにデータをどのように利用するつもりなのかを示す証拠が少しずつ明らかになり、偽善的だと非難された。
しかし、多くの人にとって、フェイスブックが道徳観念を欠いていることは、ジョージ・ソロスのような批評家を黙らせるために反ユダヤ主義的な言説を使った広報担当者を雇ったとの疑惑の中で、同社に棺桶に打ち込む最後の釘となった。
Facebook が宣言した社会的な使命、ザッカーバーグ氏の自称「無邪気なオタクで偶然 CEO になった」というイメージ、そしてこのプラットフォームの絶大な人気により、同社は 2018 年のプライバシーの悪役としての地位を確固たるものにしたかもしれないが、データを売買している企業は Facebook だけではない。
データブローカー、信用調査会社、マーケターは今年注目を浴びており、人々が聞いたこともないような企業が保有するデータに人々の目を向けさせる取り組みが順調に進んでいる。
テクノロジー大手も影響に備えを迫られている。マイクロソフトは、Officeアプリを通じて「大規模かつ秘密裏に」個人データを吸い上げていたとして、非難を浴びている。また、グーグルは、ユーザーがAndroid搭載端末の電源を切っても、依然としてユーザーの位置情報を追跡していることが確認された。
それに加えて、小規模なデータ侵害からマリオットのスターウッドホテルによる5億人分の宿泊客情報の漏洩まで、年間を通じて報告されているデータ侵害は数え切れないほどある。
規制当局に注目が集まる
GDPR の波及効果は、データ権利に関する一般の意識の高まりであれ、懸念を抱く国民や万全の対策を講じる企業からのデータ侵害報告の増加であれ、データ保護当局への圧力の増大です。
このグループではデータ保護に対するアプローチが多様で、活動家はどこに訴えを起こすか選ぶ際にこれを有利に利用しているが、UCLのヴィール教授は、注目すべき主な点は共同作業であると述べた。
「各当局がそれぞれ異なる事柄を懸念しているが、問題が新しい国際的な欧州データ保護委員会に引き渡されて初めて、本格的な変化が起こり得る」と彼は語った。
「しかし、私はまた、変化をもたらそうと、通常であれば無視されるような苦情を前進させようと、様々な規制当局に新たな人材が参入してくることから、いくつかのワイルドカードが現れるだろうとも予想している。」
そのテーブルに着く可能性が低い規制当局の1つは(Brexitが実行に移された場合)、英国の情報コミッショナー事務局である。同局は、GDPR時代のデータ監視機関としての立場から、すでにより大きな注目と監視を受けている。
技術的なノウハウが不足していると批判する声もあれば、GDPRの施行に十分な時間を費やしているのかどうか疑問視する声もある。
スタッフ700人弱を抱えるICOは小規模な組織ではない。国内に本社を置く様々なIT大手企業の国内規制機関であるアイルランド・データ保護コミッショナーの規模はICOの約5分の1だ。ICOは最近、データ保護手数料の増額という形で追加資金を獲得し、2017~2018年度に3,000万ポンドと設定された収入要件を満たすことができるようになった。
しかし、その資金は無限ではなく、2018年10月29日までにフェイスブックとケンブリッジ・アナリティカの調査に約250万ポンドを費やし、40人ほどのスタッフを投入した。
ICOコミッショナーのエリザベス・デナム氏も、捜査中にいくつかの異例の広報戦略をとったとして非難を浴びている。デナム氏は、令状が出る前にケンブリッジ・アナリティカの事務所を捜索すると発表し、フェイスブックが何らかの申し立てをする前に同社に罰金を科す計画を事前に発表するという前例のない行動をとった。
「GDPRはデータ保護における過去20年間で最大の変化だが、デナムは3、4年前に起きた出来事を優先してきた」とターナー氏は語った。
「政治に関する見出しではなく、GDPR遵守の本質に興味を持つ委員がいなければ、GDPRの影響は鈍化するだろうと思います。」®
