GDPRの過去、現在、そして将来

毎年1月28日は、「データプライバシーデー」でデータの守秘と保護に関する意識の向上および議論の喚起のための国際的な取り組みです。今年の「データプライバシーデー」を祝して、現時点で世界における最も重要なプライバシー法と言える、EUの一般データ保護規則（GDPR）について考えてみます。デジタルサービスのプロバイダーにとって、GDPRに準拠することはほぼ必須要件です。また、ほとんどの消費者は、少なくとも正当なWebサイトでは（時には面倒な）同意書がポップアップすることにより、その存在を認識しています。

しかし、昨年最も話題をさらったEU法であるにもかかわらず、GDPRが実際に及ぼす影響については、謎に包まれているように思われることでしょう。このため私たちは、その驚くほど長い歴史と、直近の影響について考察すると共に、ヨーロッパのみならず全世界の将来に及ぼす影響について業界の専門家に尋ねてみました。

1995～2018年：ヨーロッパのデータ保護指令

この歴史的なプライバシー保護法は、1995年という早い時期にデータ保護指令が可決されたことにより、すでにその種がまかれるまかれていたことになります。インターネット時代の初期段階に制定されたEUデータ保護指令は、さまざまな点で画期的なものでした。それは私達が理解できるよう、個人データの法的概念を定義し、企業がそのデータを処理する際に許可を与える原則を規定し、個人データをEU以外の諸国で共有する方法を制限していました。

これは、GDPRに関する記事を読んだことがある方であれば思い当たる節があると思います。実際、この指令の中核となる考え方を取り入れ、現代に合わせて改変し置き換えられた規制がGDPRなのです。大きな相違点は、GDPRは規制であるのに対し、データ保護指令は、あくまで指令であるという点です。EUの指令は、それ自体は直接執行可能な法律ではありませんが、加盟国はその内容を自国の法的枠組みのなかに組み入れることが義務付けられています。一方で、GDPRなどの規制は直接適用されるものです。つまり、それらは自動的にすべてのEU加盟国における国内法令の一部を形成することになります。

1995年にすでにプライバシー指令が制定されていたという事実にさほど驚きを覚えない方は、次の点を考慮してみてください。米国においては、2018年時点ではまだ個人データに関連する連邦法は制定されていません。他の超大国に関して言えば、データ保護関連の法律はさらに悲惨な状況にあります。90年代においては、デジタルプライバシーに対する権利に関して人権についての立法を考えるのは夢想家とされていました。

2018年5月：GDPRが施行される

この投稿の執筆時点では、GDPRが施行されてまだ1年も経っていませんが、当初の混乱は概ね収まり正常に戻っています。決して順調に施行されているというわけではありませんし、発生した問題のいくつかは本来予測できるものでした。このような消費者に優しい法律の施行開始時点で、この法律を庇護する側に極めて悪い第一印象を与えてしまいましたが、これは非常に不幸なことです。

実際に、ヨーロッパ全土が個人データの処理に対して同意を求めるWebサイトのプロンプトであふれ返り、皆それに耐えなければなりませんでした。言語学で「意味飽和 (semantic satiation)」という用語がありますが、これは、ある言葉を声に出し続けた場合、次第にその言葉の意味が失われていく現象として知られています。Webサイトを訪問したり、メールの受信トレイを開くたびに「当社はあなたのプライバシーを大切にしています」という表題で溢れかえることが、まさに「意味飽和」現象を起こす好例と言えます。

残念なことに、このプライバシーポリシーの過飽和状態は、ある意味で消費者に無関心をもたらしました。フィンランド・イノベーション基金（SITRA）の調査によると、ユーザの29％がGDPRのプライバシーポリシーを1秒もかからずに同意ボタンを押してています。しかし同調査で、64％のユーザは、GDPRに影響されて何らかの形でオンラインでの習慣を改めたことがわかりました。完璧ではなくとも最初にしては上出来だと思われます。

この予期しない現象は、企業がGDPR対応を先延ばしする期間を、当局が過小評価していたことから生じたものです。企業には2年の準備期間が与えられていましたが、ほとんどの企業は、まるで午前3時に気力とコーヒーで小論文を書き始め、土壇場で書き終えた学生のような振る舞いをしていました。

他にも想定外のことが起こりました。GDPRの施行日が迫った時点で初めて明らかになったことがありました。多くのWebサイトが、しばらくの間、EU顧客へのサービス提供をあきらめてしまったのです。Chicago Tribuneを所有するTribune Publishingなどの新聞社（正確には出版社）は、EUからのトラフィックを完全にブロックする道を選びました。また、もっと消費者に優しいアプローチを選んだ報道機関もありました。USA TODAYはヨーロッパのユーザに広告なしのサイトを提供することにしました。

メルマガの購読を解除してくれるサービスを提供しているunroll.meや、Webページを保存するツールのInstapaperなどのサービスも、少なくとも表面的にはEU顧客が自分たちのサイトにアクセスすることを阻止しました。しかし、当初やみくもにEUユーザをブロックしていたほとんどのサービスプロバイダーが、次第に落ち着きを取り戻しサービスの提供を再開しています。しかしunroll.meのような一部のサイトは、いまだにEUのユーザを技術的に遮断しています。

これらの一時的な問題の原因は共通しており、EUとサービスプロバイダーの双方に責任があると言えます。EUが全11章全99条の長文に及ぶGDPRの内容を広く周知することに努力したということはまぎれもない事実です。企業も、さまざまな行動指針を掲げたキャンペーンを実施しましたが、全従業員にもっと浸透させることができたと思われます。時折混乱を見せるEUの官僚主義と、この法律によって直接影響を受けた利害関係者の間には明らかにコミュニケーションギャップがありました。

このことは、企業側に全く責任がないということではありません。　しかしながら、すべての企業には、この法律を遵守し顧客に通知するのに2年間の猶予が与えられていたにも関わらず、ほとんどの企業は、競合他社の様子をうかがっていたり、単純に、対応に必要な作業量を過小評価していた可能性もありました。　施行開始後には、当社を含め（英語）、多くのGDPRコンプライアンスガイドラインが出版されましたが、企業に危機意識を目覚めさせる呼びかけとしては遅きに失した感がありました。

GDPRが世界に及ぼす影響

EUは、消費者に優しい法律の制定、自由民主主義の支持、および言論の自由の擁護における先駆者として、その地位を高めようとしてきました。GDPRの影響はEUの境界をはるかに超えて広がっていることから、世界中のデータプライバシー法にも影響を与えるのでしょうか？

MicrosoftのSatya Nadella（サティア・ナデラ）CEOは、影響を与えると考えているようです。（英語）彼は、最近の講演でGDPRを賞賛し、プライバシーと人工知能に関するグローバルルールの必要性を訴えました。それによってハイテク業界に携わるすべての人に平等な競争条件が与えられると述べています。

「GDPRに対する私の見解は、プライバシーを人権として扱うことにおいて素晴らしいスタートを切ることができたということです。米国でも同様な法律が制定されることが望まれます。そして、世界が共通の標準で統一される日が来ることを願っています。」

AppleのTim Cook（ティム・クック）CEOは、最近のTIME誌の論説（英語）で、連邦の「データブローカーの登録」を提案しました。これが実現すれば、人々は自分の情報のオンライン売買を追跡し、必要に応じて削除できるようになります。連邦法はまだ遅れていますが、進歩的な州はすでに強化し始めています。2018年のカリフォルニア州消費者プライバシー法は、多くのプライバシー専門家によって歓迎されています。

最近、カナダでも、GDPRが対象にしている個人データ関連問題の多くをカバーするために、GDPRのカナダバージョンと言えるPIPEDAを更新しました。ブラジルとインドもまた追随しています。

GDPRは世界中に影響を及ぼしていると言っても過言ではないでしょう。少なくとも民主主義の国々では、データプライバシーの先行きは多少明るいように思えます。MyData Global（英語）のプログラム責任者であるViivi Lähteenoja（ヴィーヴィ・レフティノジャ）氏の以下の見解もこの楽観的な考えを反映したものでした。