助けて!電球が切れた!GDPRがビヨンセよりも有名になった経緯
GDPRの栄光と恥の殿堂を覗いてみると、インターネットに接続された電球が無効化され、ロサンゼルス・タイムズがヨーロッパのサイトを全てブロックし、ハフポストがワンクリックで何百もの広告トラッカーを無効化できるようになっている。
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
GDPR記念日おめでとうございます!クリスマスとまではいきませんが、今年は12月25日よりも5月25日に関するメールの方が多く届くでしょう。本当にたくさんのメールです。欧州の一般データ保護規則(GDPR)が制定されてから2年、巧妙な誇大宣伝の網が構築されてきました。その誇大宣伝は今週、Google検索ボリュームでGDPRがビヨンセよりも人気になったことで最高潮に達しました。本当に大変な出来事でした。
では、GDPR対策を唱えながら、星の頂に輝くGDPRの木をぼんやりと見つめる企業は、一体どのような教訓を学べるのでしょうか?まずは、真の専門家の意見に耳を傾けましょう。データ保護の専門家たちは、誤情報、誤解、そして不当な利益追求が、予想外の関心の高まりを招いていると指摘しています。皆さんのメールボックスは、この特別な日が迫るにつれ、高まっていくパニックを物語っていることでしょう。
こうした注目の集中により、英国のデータ保護規制当局である情報コミッショナー事務局(ICO)は、2017年8月に異例の「神話を打ち破る」キャンペーンを開始するに至った。GDPRの施行日が5月25日に大々的に宣伝された今、ICOは、GPDRやデータ保護の問題についてアドバイスを受ける前に「事前準備をする」べきだと述べている。
「慌てる必要はありません」とICOの広報担当者は述べた。「5月25日は期限ではなく、始まりに過ぎません。組織には今後も引き続き、ポリシーと手順の評価と見直しを行っていただくことを期待しています。」
最も極端な状況では、多くの企業がGDPRへの対応として、欧州でのサービス提供を完全に中止することを決定しました。マルチプレイヤーゲーム「ラグナロクオンライン」は4月に欧州のサーバーを閉鎖すると発表し、モバイルマーケティング企業のVerveもEUでの事業運営の終了とミュンヘンのオフィス閉鎖を発表しました。
他の企業は、GDPRへの対応が完了するまで、欧州の顧客へのサービスを一時停止しています。メール配信停止サイトUnroll.Meは、準備が完了するまで「5月23日よりEU居住者へのサービスを一時的に停止する」と発表しました。同様に、InstapaperもGDPRの影響で「一時的に利用できなくなる」と発表しました。また、GDPRの影響でインターネットに接続された電球が点灯しなくなったという報告もあります。
TechCrunch、Engadget、Yahoo!、HuffPostを発行するOathは、全ページにわたる警告で欧州ユーザーへのアクセスをブロックし始めました。クリックするとオプション画面が表示され、ターゲット広告配信に利用している膨大なトラッカーネットワークが明らかになります。さらに過激な動きとして、ロサンゼルス・タイムズはGDPRへの対応策を検討する間、欧州ユーザーによるウェブサイトへのアクセスを一時的にブロックしました。
セキュリティ研究者のミッコ・ヒッポネン氏は、EUを離脱する他の企業のリストをまとめた。
GDPRによって導入された変更は、個人と企業の両方に適用されます。GDPRが規定する個人の8つの権利の一部として、企業は個人情報を合法的に利用・保管できることを保証し、そしておそらく最も重要なのは、データ侵害を72時間以内に報告することです。企業がデータ侵害について真実を明らかにするまで何ヶ月も待つ時代は、もはや終わりを告げるかもしれません。
大規模な変更はあるものの、大部分は従来のデータ保護規則を基盤としています。しかし、GDPRの専門家が次々と新たに任命され、これまでに出されたアドバイスは必ずしも正確とは言えません。
恐怖
企業や組織にとって、GDPRは巨額の罰金というリスクを伴います。GDPRでは、違反が発覚した企業は、2,000万ユーロまたは年間世界売上高の4%のいずれか高い方の罰金を科せられると規定されています。この金額は、ICOがこれまで科せられていた最高額50万ポンドをはるかに上回っているため、パニックに陥っているのも無理はありません。過大な罰金は、企業を簡単に立ち往生させてしまう可能性があります。
しかし、ICOは、極めて深刻なケースを除いて巨額の罰金を科すという発言を「脅し」だと批判している。GDPRに基づく罰金が英国の従来のデータ保護法の79倍になるという主張は、実現する可能性は極めて低い。他の推計では、GDPRに基づき銀行は47億ユーロの罰金を科される可能性があるとされている。
しかし、GDPRブームの理由は巨額の罰金の可能性だけではありません。データ保護に携わり、GDPR関連の怪しいサービスを提供する人々の市場も拡大しています。英国には、社名に「GDPR」の頭文字を冠した登録企業が100社以上あり、その大半は2016年のGDPR承認後に設立されました。彼らの目的は?企業がデータを整理するためのアドバイスを提供し、情報整理に役立つ製品を開発することです。
「本当に玉石混交です」と、英国の地方自治体で情報管理業務も務めるインフォ・プラネット社のリン・ワイエス氏は語る。「GDPRだけを適用すればいいと考えている企業もありますが、GDPRが20年にわたるデータ保護の歴史の上に築かれていることに気づいていないのです」。ワイエス氏によると、比較的新しい企業の中には、データ保護規則の基本要件であるプライバシーに関する通知をウェブサイトに掲載していないところもあるという。
詳しくはこちら:GDPRとは?英国におけるGDPRコンプライアンスの概要ガイド
GDPRの大きなバズワードの一つは「コンプライアンス」です。GDPRサービスの広告では、企業がGDPRに「準拠」できると謳われています。GDPRの要件を満たすための「ソリューション」も提供されていますが、物事は単に「準拠しているか否か」という単純な問題ではありません。GDPRは5月25日に施行されますが、すべてが完璧であるべきという厳格な期限ではありません。例えば、この日から個人情報へのアクセス要求は無料となり、セキュリティ侵害は72時間以内にICOに報告する必要があります。
情報コミッショナーのエリザベス・デンハム氏は、GDPR対応に向けてシステム整備を進めている企業は、法律への意識を全く示していない企業ほど厳しく罰せられることはないと述べています。「こうした不安の一部は、誤解に基づく脅しや、『既製の』GDPR対策を売り込もうとする意図に根ざしています」と、デンハム氏は12月のブログ記事で述べています。
「(ただ)済ませられるものではありません」と、2040 Trainingのティム・ターナー氏は説明する。同氏はかつてICOで働いていたこともある。GDPR対応で協働した企業は、いくつかの要件をほぼ満たしているものの、数ヶ月かけて膨大な作業が必要となる分野もあるという。「常に何か別のことをしなければならないし、別の決断を下さなければならないのです」。そして、この規制の複雑さを考えると、どの企業も完全に法律を遵守できる可能性は低い。
企業が新しいシステムやソフトウェアを購入する必要性についても疑問が投げかけられています。「あなたに代わって考えてくれるソフトウェアなど、確かに存在しません」と、Protectureのシニアデータ保護責任者であるロウェナ・フィールディング氏は述べています。「GDPRの要件への適合は、システムだけでなく、システムとプロセスの両方に関わる問題です。」ターナー氏も、一部のソフトウェアは特定のタスクには役立つものの、GDPRの要件を満たすシステムの構築に直接関係しない可能性があることに同意しています。
混乱を招く
GDPRの99条の解釈は複雑になりかねません。議員たちは、何を削除すべきかという誤ったアドバイスを受けたと訴えています。環境・食糧・農村地域省が情報公開法に基づいて公開した文書は、2017年10月時点で同省がGDPRへの準備が整っていなかったことを示しています。同省は、EUのGDPRに十分なリソースを投入できなかったのは「EU離脱に関する最優先事項」のせいだと非難しました。
他地域では、GDPRと個別のプライバシーおよび電子通信規則(PEC)の重複により、数百社もの企業が顧客に(多くの場合、不必要に)メールを送信し、メッセージの送信を継続する許可を求めています。ある地方議員は、GDPRのせいで計画文書を送ってもらえなかったと主張しました。
フィンランドでは、GDPRの影響で、アパートのドアの外にある名前を消すことが推奨されている。
「全く狂気の沙汰です」とターナー氏は言う。GPDRに関するいくつかの問題――同意が常に必要だという考えもその一つ――に関する矛盾したメッセージは、誤情報と熟練した人材の不足によって部分的にもたらされている。
データ保護担当者の採用(一部の企業にとってGDPRの義務の一つ)を担当してきたあるデータ保護専門家は、その採用は大変な苦労だったと語った。「この6ヶ月間、面接で『この人に任せたい』と思える人は一人もいませんでした」と、匿名を条件に語ったこの専門家は語った。「有能な人材は、何ヶ月も前に採用されてしまいました。」
続きを読む: Apple、Facebook、GoogleがGDPRに準拠するためにどのように変化しているか
5月25日の施行日が近づくにつれ、GDPR関連業務で企業が法外な料金を請求されているという報告も上がっています。「法外な金額を請求されているのを目にしました。小規模な組織がデータ監査に3万ポンド(約300万円)も請求されたのです」とワイエス氏は言います。「『エクセルのスプレッドシートを使えば2日でできるじゃないか。とんでもない話だ』って感じです」
元IBM社員のジョージ・パラパダキス氏は、LinkedInの投稿で、テクノロジーではGDPRの問題を解決できないと述べている。「毎日目にするナンセンスな話は、信じられないほどだ」とパラパダキス氏は書いている。ターナー氏はさらにこう付け加えている。「誤解しないでほしい。私たちは皆、住宅ローンの支払いのためにこの状況に陥っている。しかし、パニックが拡大するにつれて、『市場の勢いが失われる前にどれだけ稼げるか試してみよう』という、一種の食い荒らしのような状況になっていると思う」。この状況は、GDPRがビヨンセよりも人気になった時にピークを迎えたのかもしれない。
ICOは、GDPRを利用して利益を得ようとする動きがあることを認めているが、これはICOの規制当局としての権限外である。別のブログ投稿で、デンハム氏は、GDPRに関する「誤報や露骨な恐怖をあおる行為」の一部は「商業目的のようだ」と述べた。
現時点では、ICOは、企業や組織がGDPRに「準拠」している、あるいはその要件に関する研修を受けていることを示すための認証制度やチェックマークを提供していません。ICOの広報担当者は、GDPRコンサルタントの認定制度は運営していないことを確認しました。本記事のために取材した関係者全員が、企業は不明な点やアドバイスについてはICOに相談すべきだと述べています。フィールディング氏は、「派手なパンフレットに何か書いてあるからといって、それが正確だと決めつけないでください」と述べています。
この記事はWIRED UKで最初に公開されました。
