GDPR(一般データ保護規則)とビッグデータ

GDPRは、General Data Protection Regulationの頭文字で、日本語では、「一般データ保護規則」と訳されている。 EU加盟国にEEA3ヵ国(アイスランド、ノルウェー、リヒテンシュタイン)を加えた31ヵ国を対象にした個人データ保護の法律だ。

EU オフィシャルサイトGDPR 日本語訳PDF
日本情報経済社会推進協会

1995年に創られた「EUデータ保護指令」を欧州連合域内のプライバシー保護規則を統合する目的で、2016年に採択され、2年間の期間を経て、2018年5月25日より施行されている。

GDPRには、「個人が個人のデータをコントロールする権利を取り戻す」というイデオロギー的な思想が混じっており、現存する、もっとも厳しい個人情報保護に関する法律になる。

GDPRの対象範囲

GDPRの際たる特徴は、個人情報の定義と適応地域の不明瞭さにある。

GDPRが定義する個人情報

氏名、住所、クレジットカード番号、電子メールアドレス、等の一般的な個人情報に加え、

IPアドレス、クッキー(Webサイトで訪問者の識別に使われる文字列)等の、個人の特定に繋げることが困難な情報、

及び、
身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因等の観念的な概念まで、盛り込まれている。

GDPRが定義するEU圏

EU圏といっても、フランスやドイツのようなヨーロッパの国々だけが対象になるわけでは無い。

この双方が、GDPRの保護下に有るとしている。

GDPRが定義する対象

対象者はBtoC(企業と消費者)だけではなく、企業間(BtoB)や企業が雇用する従業員も含まれる。

デジタル空間

国外向けに宿泊予約や通販を行う、Webサイトも対象であるが、EU圏以外の国にあるEU圏以外の国民が作ったサイトであっても、フランス語のコンテンツがあった場合は、EU圏を想定していると見なされる。

曖昧な定義
ホームページやメールなどのデータをやりとりは、サーバによって構成されたネット空間で行われるが、 EU圏外のサーバを経由させた場合、データの移転と見なされる可能性が有る。

GDPRの制裁金の額

  1. 10,000,000ユーロ(約26憶円)
  2. (権利侵害)前会計年度の全世界年間売上高の4%
  3. (軽度の違反)前会計年度の全世界年間売上高の2%
1と2及び3の場合、いずれか高い金額が選択される。

GDPR施行開始

5月25日の施行開始初日、万全の体制で備えをしていたはずのGoogle社、 及び、Facebook、現在、Facebookの傘下に有るInstagram、WhatsApp、を名指し、罰則があったとして、それぞれ、日本円に換算して、4,736億円と4,992億円の罰金の支払いが命じられた。

理由は、NEWガイドラインに対して、「不同意」を選択したユーザーに対してサービスの提供を停止したことが、支配的な立場を悪用した許諾の強要にあたるとのことだ。
現在、半ば、公知の事柄のように世界中で使われているギブアンドテイクが否定されたことになる。

同意によるオプトインの有効性

GoogleはGDPR施行前に、協力企業に対して、EU圏のユーザーに向けて、同意の得る為の機能を追加せよと要請したが、結局、その方法では対応できなかったことになる。

また、GDPRでは、ユーザが未成年であった場合は、親などの保護責任者から同意を取ることも求めている。
未成年か否かを判別する為には、ユーザーの年齢(個人情報)が解っている必要が有る為、結局、全てのユーザーに対して、その確認を行わなくてはならない。

追記(7月17日)
日本政府とEUの間で、交渉が行われた結果、日本は第三国で初めて、十分性認定を受けることになりました。
ソース:「EU間の相互の円滑な個人データ移転を図る枠組み構築に係る最終合意」

GDPRについては、引き続き、注視していきます。

AI(人工知能)の学習データの売買プラットフォーム

Copyright Md.lab All Rights Reserved