GDPRヒステリア

in #インターネット #プライバシー

近日、多くのサイトやサービスから利用規約の変更のお知らせが届いたと思います。

gdpr-email-1

その理由は急な気前よい行為ではなく、EU一般データ保護規則が今日(2018年5月25日)に実施されるからです。

EU一般データ保護規則(またはGDPR)はEU内の全ての個人情報保護を強化し、諸国の法律を統合することを意図している規則です。

じゃ、ヨーロッパ人が対象ならば、なぜ日本までメールが届くんですか?

その理由は、GDPRの強さにあります。

GDPRはEU圏内の企業だけではなく、EU圏内の人をターゲットにする世界中の企業が対象です。殆どの企業は、二つのルール(EU向けとその他)を同時に実行することが厳しいと感じて、国を問わずGDPRにコンプライアンスすると決断しました。

GDPRを実現するため、厳しい罰金を導入しています。つまり、全世界売上高の4%または2000万ユーロのうちいずれか高い方が制裁金として課せられます。

GDPRヒステリア

GDPRについて、色々が書かれており、今日から実行されるにも関わらずまだ不明点が多く残っており、様々な企業の担当者が混乱しています。

注意事項!僕は弁護士、法律のプロなんかではありません。摘発されたら、「でもアレックスがこれを書いた…」と言う価値がありません。

我々データ保護派は昔からGDPRのような規則を望んでおり、導入を楽しみにしています!

数日前から数カ月前からGDPRの存在を知った人は「もしかして、うちも対象?」と焦っているでしょうが、知らないってことは、恐らく大丈夫です。(恐らく。弁護士に確認しましょう。)

下記はよく耳にする発言と、僕が思うことです。

2000万ユーロを罰金される!

違います。これは最大の制裁金です。

ヨーロッパで取引したことがある人はご存知だと思いますが、ヨーロッパはまず「違法の通知」を届けて、コンプライアンスが出来るよう、一定の期間を儲けてくれます。こちらの通知を無視したら(対応しなかったら)罰金されます。

また、2000万ユーロは最大の罰金です!多くの場合はそこまで上がりません。ヨーロッパで、最大の罰金が制裁されるまで、同じミスを数回繰り返す現象が殆どです。

つまり、通知→罰金→罰金の増強

2000万ユーロを罰金されたら、相当な悪いビジネスと言っても過言ではありません・・・

また、この制裁金はGoogleやFacebook、主にメガ企業を対象にしています。殆どの企業は大丈夫です。

通知なしで厳しい罰金が届く

それはありません。上記をご一読下さい。

28ヶ国語で対応しなきゃ!

ノー!基本的にヨーロッパから書類や何かが来たら、英語です。

GDPRのせいで、特別な人材を採用しなきゃ!

違います。対象の企業はプライバシーや個人情報を担当する人を決めなければなりません。採用するかしないは法人の自由です。

エンドユーザーの要求(個人情報の削除など)を処理するの大変

そのような議論は誠意を持って行われていません。

個人情報をあっちこっち収集するのに、色んな自動システムでそのデータのライフサイクルを適切に処理するのに、同じ個人情報の削除は自動化できません?モチベーションの問題に聞こえます。

もう準備できません。

今になってさすがに遅いですね。でもできることは先にやりましょう。

GDPRは2年前からありまして、DPD(European Data Protection Directive)は20年前からあります。ヨーロッパで、そういう法律があるのは全く新しくありません。

また、ほとんどの企業は大丈夫です。

この法律にコンプライアンスするの無理

うーむ。このサイトはコンプライアンス済みです。

なぜ?そもそもユーザーの情報を収集しないというのは大きな理由です。

でも仮に情報を収集しようとしたら、コンプライアンスしつつ個人情報の収集はできます。例えば、サーバー側でIPアドレスの収集をする場合、マスクを使ってIPアドレスの2バイトを隠せば、コンプライアンスできます。

また、クッキーを配信する前、ユーザーの同意を求めましょう。

アナリティクスの他に、IPアドレスの収集をする理由があれば(攻撃対策、など)できます。基本的に30日間までオッケーです。60日間の延長を希望する場合、期間が過ぎたらユーザーにIPアドレスが正しく削除されたことをお知らせしなければなりません。(←これも自動化できます)

この法律のせいで倒産する

申し訳ない気持ちでいっぱいです。

しかし、この法律はインターネット上で、ヨーロッパ人の最大の侵害、つまりプライバシーの侵害から保護するため作られました。今のビジネスでGDPRに従うことができないと言うのは、すなわち、そのビジネスの基本がプライバシーを侵害することと同じです。それでしたら、いい厄介払いですね。

そうでなければ、恐らく大丈夫ですよ。

私のビジネスはGPDRに従うことができない。

ならば、ヨーロッパ人とビジネスを今すぐにやめてください。

  1. 代わりに従う競合他社がやってくれるでしょう
  2. 「できない」と思うならば、そもそもあまりにもよくないことをやっているでしょう。そうであれば、この法律は目的通り動作しています。

従いたくないからヨーロッパ人を遮断する

了解。さらば。

GDPRを恐れるべき企業

GDPRを恐れるべき企業は、(ヨーロッパ人の)個人情報を無断収集する企業です。この法律はそれらをターゲットにしています。

一つの業界に限りませんが、主にアドテク企業が恐れるべきです。アドテクで働いて、まだコンプライアンス済みでなければ、今すぐパニック状態になっても良いです。

その他の会社は、同意を求めたり、個人情報の簡単削除仕組みを作ることが必須になっていますが、基本的に大丈夫です。もちろん、弁護士に確認した方が良いですが、そもそもヨーロッパ人と直接取引しない場合、またはヨーロッパ人のデータを扱わない限り、大丈夫です。

GDPRのこれから

恐らく大丈夫だよと書いた一方、どんな企業でも従えば望ましいです。

なぜならは法律以上の理由であり、自分のユーザーとお客様に対してただの尊敬払いです。
また、GDPRに従わなければ、ヨーロッパの企業と取引できなくなります。

とくにウェブサイトに関して、良く聞く理由は

もし、クッキーなどの同意を求めるようにしたら、多数の人は同意しないでしょ?

そうです。
そもそも、多数の人が嫌だと思っていることを無断にやるのって、本当にユーザーに対して尊敬していますか?

今まではマーケティングツールを使って、我々のアセット(サイト、アプリなど)上でユーザーの明示的同意なし(つまり誰も読まないくそ長い利用規約)で自由に実験をしたりしていました。ちょっと嫌でしょうね。

それより、マーケティングでユーザーを騙すよりも、信頼のあるサービスを提供することが求められる時代になっています。

また、必要のない個人情報を持たない時代になります。

GDPRは、結局、インターネットの生まれ変わりと言っても過言ではないでしょう。


参照:GDPR Hysteria