2018年、ヨーロッパで一つの法律が施行されました。
その影響は、ヨーロッパにとどまらず、世界中の企業のプライバシーポリシーを書き換え、ウェブサイトに「クッキーの同意」バナーを溢れさせ、日本企業にも対応を迫りました。
GDPR(General Data Protection Regulation:一般データ保護規則)——「世界で最も厳しい個人情報保護法」とも呼ばれるこの規則は、なぜそれほどの影響力を持つのでしょうか。
GDPRとは何か
GDPRは、EU(欧州連合)およびEEA(欧州経済領域)における個人データの保護と自由な移転を規定する法律です。
2018年5月に施行され、違反した場合の制裁金は最大で全世界年間売上高の4%または2000万ユーロの高い方という、非常に厳しいものになっています。
2000万ユーロを日本円に換算すると、現在のレートで約37億円以上。しかも「全世界年間売上高の4%」の方が高くなる場合はそちらが適用されるため、大企業ほど制裁金は青天井に近くなります。
実際にGDPR違反として制裁金を科された例として、Metaが2023年に約1800億円、Amazonが2021年に約1000億円の制裁金を受けています。「クッキーの同意バナー」が世界中のウェブサイトで真剣に設計されている理由が、この数字からも伝わるのではないでしょうか。
また、GDPRが「世界で最も厳しい」といわれる理由は、その域外適用にあります。
GDPRはEU域内の企業だけに適用されるのではなく、EU域内に居住する人々のデータを扱うすべての事業者に適用されます。日本に本社がある企業でも、EU在住のユーザーのデータを扱えばGDPRの規制対象となります。
GDPRが適用される場面
GDPRが適用されるのは、大きく二つの場合です。
①EU域内に拠点がある場合——EU域内に支店・子会社・事務所などの拠点を持つ事業者が、個人データを処理する場合。日本企業でもEUに拠点があれば適用されます。
②EU域内の人々を対象にサービスを提供する場合——EU域内に拠点がなくても、EU在住の人々に商品・サービスを提供したり、EU在住の人々の行動を監視したりする場合。日本からEU向けにECサイトを運営している、EU在住のユーザーが使えるアプリを提供している——こうした場合もGDPRの対象となります。
AIのサービスをグローバルに展開する場合、EU在住のユーザーが一人でも使えば、GDPRへの対応が必要になります。「日本の会社だから関係ない」は通用しません。
GDPRの主な内容
同意の要件が厳しい——GDPRにおける同意は、自由に与えられた、特定の、十分な情報に基づいた、明確な意思表示でなければなりません。チェックボックスがあらかじめチェックされている状態(オプトアウト方式)は、GDPRでは有効な同意とみなされません。必ずオプトイン方式が求められます。
この「同意の要件」が、私たちが日常的に目にするクッキーの同意バナーの正体です。
ウェブサイトにアクセスしたとき、「クッキーの使用に同意しますか?」と聞いてくるあのバナーは、GDPRへの対応として設置されています。
クッキーとは、ウェブサイトがあなたのブラウザに保存する小さなデータのことです。ログイン状態の維持など、サイトが動くために必要な「必須クッキー」と、あなたがどのページを見たか・どんな広告をクリックしたかを追跡する「トラッキングクッキー」の二種類があります。バナーで同意を求めているのは主に後者——「あなたの行動を追跡するクッキーを使っていいですか?」という問いです。
GDPRはオプトイン方式を求めているため、EU在住のユーザーには必ず同意を取らなければなりません。そして重要なのは、拒否しても問題ないという点です。「同意しないとサイトが使えない」という設計はGDPR違反になる可能性があるほど、拒否する権利はしっかり守られています。
日本のサイトでもバナーが表示されるのは、EU在住のユーザーにも対応しているからです。
忘れられる権利——本人は、自分の個人データの削除を事業者に求める権利(忘れられる権利)を持ちます。事業者は正当な理由がない限り、この請求に応じなければなりません。
データポータビリティの権利——本人は、自分の個人データを構造化された形式で受け取り、別のサービスに移転する権利を持ちます。「このサービスに登録したデータを、別のサービスに持っていきたい」という請求に応じる義務があります。
プライバシー・バイ・デザイン——個人データの保護を、サービスや製品の設計段階から組み込む考え方です。「後からプライバシー対策を追加する」のではなく、最初から設計に組み込むことが求められます。AIシステムを開発する際も、プライバシー保護を設計段階から考慮することがGDPRの精神に沿っています。
日本の個人情報保護法とGDPRの違い
日本の個人情報保護法とGDPRは、基本的な方向性は同じですが、いくつかの重要な違いがあります。
日本とEUは相互認証の関係にあり、日本の個人情報保護法はGDPRと同等の保護水準があると認められています。これにより、日本企業がEUから個人データを受け取る際の手続きが一部簡略化されています。
まとめ
GDPR(General Data Protection Regulation) → EUおよびEEAにおける個人データ保護規則。EU在住者のデータを扱う全事業者に適用される域外適用が特徴。違反した場合の制裁金は最大で全世界年間売上高の4%または2000万ユーロ
域外適用 → GDPRがEU域外の事業者にも適用される性質。日本企業でもEU在住のユーザーのデータを扱えば対象となる
忘れられる権利 → 本人が自分の個人データの削除を事業者に求める権利。GDPRで明示的に規定されている
データポータビリティの権利 → 本人が自分の個人データを構造化された形式で受け取り、別のサービスに移転する権利
プライバシー・バイ・デザイン → 個人データの保護をサービスや製品の設計段階から組み込む考え方。後付けではなく最初から設計に組み込むことが求められる
next ▶ 著作権とは何か 著作物・創作性の基本