最近日経紙面やニュースに取り上げられることの多い欧州一般データ保護規則(「GDPR」)が5月25日に施行されました。
そして施行日当日に、いきなりこの2社はGDPR侵害として訴えられました。
GDPRは、違反した場合は世界売上げの4%がMAXの賠償金として課されます。これは純利益ではありません。また、売上の計算にはグループ企業を含みます。Google(アルファベット)の年間売上は約12兆円のようなので、この4%の4800億円が最大の賠償金額となります。あくまで可能性レベルですが、ものすごい金額です。
ちなみに訴訟を提起したプライバシー保護のための非営利団体noybの代表者のマックス・シュレムス氏は、EU欧州員会とアメリカで締結していたセーフハーバー協定(アメリカ企業による欧州から米国へのデータ移転を可能とする協定)の無効訴訟を起こし、2015年に勝訴しているみたいなので、相当のやり手ですね。
最近はGoogleやFacebookの記事で、GDPRに対応したとかGDPRによってどうビジネスが変わるとかといった経済記事もいくつか出ていますね。
GoogleやFacebookに投資している人も多いと思いますが、GDPRの内容をしっかり理解している人はほぼいないのではないでょうか。
ブログでグーグルの機能を使用している人などは(グーグルアナリティクスを使用している人とか)GDPR用の変更された規約の表示とかを見たことがあるのではないでしょうか。
僕は、仕事でGDPR対応にも従事しています。そのため、グーグルのGDPR用の英文の利用規約もすべて読みました。契約担当者として、非常に参考になる内容でもありました。
GDPRは欧州域外でも適用される
GDPRは、欧州域外の企業に対しても、欧州内でサービスを提供していれば適用されます。
そのため、例えば欧州向けに通販サイトを開設しているとか、日本の旅館が予約サイトを運営していれば、GDPR対象となります。一定の条件はありますが中小企業も広く対象になりますので、欧州向けサービスを停止するという選択肢も対応コストを考えれば合理的な場合もあります。
情報の移転が禁止される
EU居住者の個人データ(日本の個人情報保護法でいう個人情報のようなもの)の欧州から欧州域外への移転が原則として禁止されます。一定条件下では移転する方法はあるのですが、例えば欧州域内の子会社が取得した欧州顧客のデータを日本国内に持ち込むとGDPR違反となります。
なお、「移転」とはアクセスできる状態をいいますので、物理的に情報を移転せずとも、欧州のサーバーにアクセスして情報を入手できる状態であればそれをもって移転に該当し違法となります。
赤字でも売上の4%が制裁金
GDPR違反した場合の制裁金はあり得ないレベルです。
ざっくりいえばグループ全体の売上の4%です。なお日本の個人情報保護法違反は、6か月以下の懲役または30万円以下の罰金ですので、金額のスケールの違いがわかると思います。売上1000億なら、赤字でも40億の罰金食らいますからね。過去例がないくら制裁金リスクは大きいです。
IPアドレスやクッキーも保護対象
GDPRの保護対象となる「個人データ」には、オンラン端子も含みます。IPアドレスやクッキーも対象です。日本の個人情報保護法ではこれらは個人を特定できず「個人情報」とは見做されませんので、保護範囲が日本法よりもかなり広いです。そのため、ネットビジネスをしている会社は、例え氏名等の個人情報をとらなくても、IPアドレスをとってしまうとその時点でGDPR対象になります。
ということはですね、ブログやっている方って訪問者のIPアドレスとったりアクセス履歴とっている人多いと思いますけど、GDPR上はそれらのオンライン識別子はGDPRの保護対象になりうるのです。
以下のようなケースは発生しうると思いますか?
某有名米国株ブロガーGDPR違反で制裁金!
某有名米国株ブロガーが、このたびGDPR違反でEU当局から制裁金を課さられることが判明した。制裁金額はグーグルアドセンスやアフィリエイト等のこれまでのブログ収入全体の4%に相当する金額である。さらに違反者として実名公表もなされた。
数人のEU居住者がたびたびブログにアクセスしており、IPアドレスやクッキーを取得していたが、それらの情報の取得について何ら事前に説明、合意を得ておらず、GDPR違反が認定された模様だ。
ブログ運営者は、「IPアドレスやクッキーは取得していたが、まさか自分のサイトがGDPRの適用対象とはまったく考えていなかった。こんなことになるのなら、ブログなんてやらなければよかったよ」と供述しているようだ。
もしあり得るなら、ブログするのも怖いですね。
日本語サイトは、GDPR対象外
GDPR対象となるのは、あくまで欧州向けサービスです。
じゃあ日本語で提供している日本人のみのアクセスを想定しているサイトは対象になるのかですが、これは対象にならないと考えられています。
欧州向けサービスか否かは、提供言語や決済通貨などを総合考慮して判断するのですが、日本語のブログは通常日本国内の日本人向けのものと見做せますので、結果的にたまたま欧州の人がアクセスしてIPアドレス情報をとっても、それはGDPR対象とはなりません(なお実名公表もありません、フィクションの記載です)。まあその前に、企業ではなく、個人という点もあるのですが。
GDPRは莫大な対応コストがかかる
かなりのお金がかかります。通常はコンサルや弁護士に委託するしかないのですが、対ユーザー用や社内規程等の書類整備に加えてITシステムもGDPR用に変える必要があるので、相当の投資金額となります。しかも、まだ実務が固まっていないので、なにをどこまでやったらいいかわからず、コンサル間でも見解が分かれるということもたびたびあります。EUの法令で内容も当然英語ですし、資金のない中小企業は対応不能のところも多いのではと思料します。
結局はGoogleやFacebookの仕様がデファクトスタンダートになる
GDPRは、GoogleやFacebook等米国巨大資本がユーザーの権利を尊重せず不透明な形で個人情報を使ったビジネスをやっていてけしからんのではないかということが契機となってつくられました。
ユーザーの権利を尊重し、しっかりとどの情報を何に使う目的で使用しているのか明確にしつつ、第三者に勝手に情報を渡さず、EU域内に出してもいけないと。
規制は一般的に対応コストがかかるため既存の寡占プレイヤーに有利に働きますが、今回のGDPRも結局はそうなるのではと僕は考えています。
日本企業を見ていると顕著なのですが、GDPR自体の内容が抽象的なことも理由となり、結局なにをどこまでやればいいのかというスタンダードがとてもわかりにくく、参考になるものがありません。そのような中で、Googleがこういう対応をしている、Facebookがこのようなプライバシーポリシーを出した、ということで、大手企業のやり方に倣うという対応は必ず出てくると思っています。1番の見本は、弁護士やコンサルの中身のない抽象論よりも、実際に形となって現存している大手企業の実務の方法です。社内でGDPR対応を役員に説明するとき、当社独自の方法と説明するよりも、GoogleやFacebookと同様の対応をしていますと言えれば、それだけで説得力が違いますよね。プライバシーポリシーやユーザーからの合意の取り方、ユーザーから請求があった場合の対応など、結局米国大手企業の実務がデファクトスタンダードを形成していくのだと思います。
実際に僕も、GoogleのGDPR用の規約を確認し、このような内容でよいのかと見本としてみていました。
今回早速2社は提訴されましたが、おそらく2社のやり方が違法であるなら、その他の99%の企業の違法状態であるとなるのではないでしょうか。
ビジネスのやり方は変わるかもしれませんが、GDPRの規制により寡占プレイヤーの既存の優位性が害されることもないと思いますで、GDPRが施行されたからどうとかはないと思います。GDPR施行は数年前から公表されていますが、実際に株価は下がらずうなぎ昇りでしたから、市場もその認識なのでしょう。
唯一怖いのは、欧州規制当局の見せしめ的な制裁金の発動だと思います。
なお僕は、GoogleにもFacebookにも投資はしておりませんので、ポジショントークは含みません。
コメントを残す