商売力開発ブログ

非エンジニアがWebサービスの開発、運営によって商売力をつける記録、その他の雑記

欧州「一般データ保護規則(GDPR)」の施行後の反応

【スポンサーリンク】

今回は2018年5月25日に施行された欧州のプライバシー法「一般データ保護規則(GDPR)」について、その施行後の反応を見てみたいと思います。

GDPRの概要

2018年5月25日に施行されたGDPR は、EU加盟国(EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタインを含む、以下同じ)の居住者に製品・サービスを提供する、あるいは EU加盟国 の居住者に結び付くデータを収集、分析する企業、政府機関、非営利団体、その他の組織に課せられる規則です。GDPR は所在地に関係なく適用されます。 
保護の対象となる個人データの範囲が広いこと、違反時の制裁金が高額なことが特徴で、施行により様々な反応が出てきております。

 

www.prj-alpha.biz

施行後の反応

施行後の反応を見ていくと、まず施行初日にグーグルとフェイスブック、インスタグラム、ワッツアップがオーストリアの非営利プライバシー保護団体からデータ保護監督機関などにそれぞれ苦情の申し立てがされ、その後にアップル、アマゾン、リンクトインも同じ団体から申し立てがされています。

www.itmedia.co.jp

japan.zdnet.com

このプライバシー保護団体を率いる弁護士によると、以下のような発言があります。

Facebookはポリシーに同意しないユーザーのアカウントをブロックまでした。ユーザーは同意ボタンを押すか、アカウントを削除するかのどちらかを選ばなければならず、これは自由選択とは言えない。

これは個人情報に関するポリシーに同意しなくても、利用できる状態は担保しなければならないということからくる言葉です。GDPRでは同意しなくてもサービスを利用できるようにするよう定めているからです。この申し立てが認められるとしたら、かなりの影響がありそうです。

GDPRの影響から一部はEUからアクセスできないようにする措置を取ったところもあるようです。

www.itmedia.co.jp

過剰な反応のように思えますが、GDPRの内容が解釈によって抵触する可能性があることから防衛措置として行った対応のようです。少なくとも申し立ての対象となることはなくなるでしょう。

日欧は個人情報の相互移転の合意へ

日本とEUとの間での個人情報の相互移転を認める方向で調整しています。7月に最終合意をまとめ、国内での手続きを経て、今秋までに実現する見通しとのことです。
これが合意されると欧州にもウェブサービスなどを提供している企業などは影響がありそうです。これまで欧州向けのサービスのために欧州にサーバを置いていたとしても、何か問題が発生して調査する場合には欧州に在住の人しか個人情報が絡む部分については調査ができないのではといった話がありました。これが欧州に在住してない人でも対応できる、あるいはサーバ自体が欧州になくても良いといったところまでOKとなるかもしれません。

www.sankeibiz.jp

www.jiji.com

どのような対応をするべきか

日本語だけのウェブサイトやサービスを運用していて、ほとんどの利用者が日本国内であれば、とりあえずの対応してはこちらが参考になります。

fujii-yuji.net

英語も対応しているとなると、EU向けのものという解釈も成り立つことから、ウェブサイトやサービスの運用状況から対応を検討しましょう。

今後、スタンダードになっていくか

このGDPRですが、今後世界標準となっていく可能性があります。これはフェイスブックの個人情報流出問題と関連して、フェイスブックがGDPRの対策を世界でも行っていく流れがあることからもわかります。

www.itmedia.co.jp

www.itmedia.co.jp

jp.techcrunch.com

フェイスブックがどこまで対応するかはわかりませんが、GDPRの内容がEUだけのローカルなものから世界標準になると考えられる場合、対応するかしないかではなく、どう対応するか、どこまで対応するかといった姿勢で臨む必要が出てきます。このあたりは所属する組織・会社の判断で変わってきそうです。

まとめ

今回は欧州「一般データ保護規則(GDPR)」の施行後の反応のまとめでした。

以上

【関連するリンク】

www.prj-alpha.biz

【スポンサーリンク】