TOUCH THE SECURITY Powered by Security Service G

コラム

2018.10.16

なぜGDPRがヨーロッパから始まったのか ――その背景を紐解く

「GDPR」という単語を見て、何の略語なのかピンと来る人はどれくらいいるだろうか。

メディアでは少し前にかなり大きく報じられていたので、言葉は聞いたことがあるが、何を意味しているのかよくわからないという人も多いのではないかと思う。

GDPRは、「General Data Protection Regulation」という言葉の頭文字を並べたもので、日本では「EU一般データ保護規則」と訳される。EU(欧州連合)とアイスランドやノルウェー、リヒテンシュタインを含む欧州経済領域(European Economic Area = EEA)で2018年5月25日から適用がスタートした個人データの保護を目的とした規制だ。

EEAに参加する国。青はEU加盟国、緑はEUには非加盟であるもののEU市場に参画している北欧の国々。
By CrazyPhunk (self-made - based upon: Image:EEA.PNG) [Public domain], via Wikimedia Commons

個人データの保護は基本的人権

欧州で始まったこの規制は、日本にとっても無関係ではない。EEA域内に現地法人や事務所を置く日系企業や組織だけでなく、欧州でネット取引する人たちなどにも、EUはEEA域内で取得した個人名や電子メールアドレス、クレジットカード番号などの個人情報を扱うための厳しいルールを課すからだ。しかも違反すると罰則を払わなければならない。

5月の適用スタートからネット上では日本企業向けに様々な対応策がまとめられているので詳しくはそちらに譲るが、要は個人のデータ保護は「基本的人権」であり、個人データは企業のものでなく個人のものであると明確にしている。その上で、EEA域外へのデータの持ち出しを原則禁止したり、プライバシーの保護を行うよう求めている。世界中の企業は、EEA域内での個人データの取り扱いに十分な配慮が必要になる。

ちなみにデータのEEA域外への持ち出しに限っては、日本は欧州並みのデータ保護水準にあるとして「十分性認定」を得る見通しで、例外的に日欧間の枠組みが作られることになりそうだ。

資源と化したデータ ――EUが個人情報の保護に乗り出した背景

ただこのGDPRを見ていると、なぜこうした新たな措置が欧州から始まったのだろうかと不思議に思う人もいるはずだ。そこで、本稿では対応策などのGDPRそのものの議論よりも、GDPRが導入された背景に焦点を当ててみたい。

そもそも欧州では、GDPRの前には、欧州の「データ保護司令」という個人情報を扱う概念が存在していた。この司令は1995年に採択されており、まだ現在のようにデジタル化は進んでいない中で作られたものだった。つまり、現在のネット環境には追いついていないものであり、欧米のメディアにはこの司令が、「まだ”クッキー”が美味しいビスケットとだけしか広く認識されていなかった時代の代物」と指摘している者もいる。

またこの保護司令はあくまで、各国の法規制整備を求める「概念的」なものだった。つまり強制力も罰金もない。その一方で、今回始まったGDPRはその考え方を実現するために、罰則のある規制にした。

今、ネットワーク化・デジタル化が進んだ世界では、ユーザーの個人データが巨額の富を生むようになっている。世界的IT大手のグーグルやフェイスブックなどといった企業は個人データをすくい上げて広告に活用するビジネスモデルで莫大な利益を上げている。例えばフェイスブックは売り上げのほとんどすべて、年間400億ドルをそうした情報を使うことで稼いでいる。

だが彼らのプラットフォームや所有するユーザーの個人情報が、国家の安全保障にかかわるような事案に悪用されるケースも出てきている。例えば、2016年の米大統領選挙では、ロシアによる選挙介入工作に使われたとして今も世界的な問題になっている。

近年、個人データというのは、国家を揺るがしかねないほどの影響力を持つようになっているのだ。これこそ「データは新たな『石油』である」と表現されることもある所以だ。

誰もが気軽に参加できるプラットフォームメディア。
自覚の無いまま、恣意的、且つ扇情的な情報を拡散してしまう人々も多い。

GDPRは未来を見据えた整備事業

しかも今後、こうしたデータの「乱用」は広がる可能性がある。

5G(第5世代移動通信システム)時代が到来すれば、今以上に世の中の多くのものがデジタル化してネットワークに繋がれ、人々の言動など全てがデータ化されることになると見られている。IoTやAIなどが生活の中で当たり前の存在になり、個人の生活情報・趣味趣向までも、今以上に実態に近い形で吸い上げられることになる。

そうした潮流の中で、個人のデータの保護は、欧州を中心に基本的人権であるという認識がこれまでになく高まっていた。EUの制作執行機関である欧州委員会は、デジタル経済の成長を推進するのに消費者の信頼は欠かせないものであり、その信頼はデジタルサービスの利用者にもっと情報を与え、ユーザー自身に彼らのデータが、どのように使われるのかをコントロールする大きな権限を与えることによって得られる、という声明を発表している。

つまり、2020年までに1兆ユーロ規模になると言われるデジタル経済の中にあって、今後さらに広がるデジタル化・ネットワーク化が広がるのは間違いない。サービス提供者とユーザーがともにその恩恵を最大限に享受し、ますます発展するためには、ユーザーの個人情報を提供者側が独占して乱用するようなことがあってはならないということなのである。

そうした理念を背景に、今回のGDPRがスタートされた。そうしたGDPRのゴールを知れば、この規制が未来を見据えた「整備」であるのかがわかる。しかも世界的にこの流れが広がるのではないかとの観測もある。

とにかく、これまでのような「私たちは新たなサービスを開発するために個人のデータを使用する可能性があります」というような利用規約では通用しなくなる。企業もすでにGDPRに対応すべく動き出しており、例えばデータの取り扱いでトラブルを引き起こしてきたフェイスブックは、GDPRに対応するために人材を集めて特別チームを作って対応していると報じられている。

欧州という地域性と歴史がもたらすもの

ではなぜ「データ保護司令」のような概念が、欧州から出てきたのか。その理由のひとつとして、この地域における人権意識の高さが挙げられる。

少し歴史的な話になるが、欧州では17~18世紀ごろから、信仰の自由などを背景に、哲学者などが人権についての概念を議論するようになった。それ以降、もちろん欧州にも人権を蹂躙するような出来事はいろいろと見受けられたが、人権に対する意識は徐々に根付いてきた。

個人と社会・国家の在り方など、近代の人権思想に言及した「社会契約論」の著者、哲学者ジャン=ジャック・ルソー(18世紀)。
専制君主の時代に終わりを告げた、後のフランス革命にも大きな影響を与える。

近代になり、EUが作られると、加盟国には人権的な意識が求められるようになった。EUは新たに加盟を望む国々にも表現の自由や死刑廃止など、彼らの考える基本的人権を満たすよう求めている。もちろんテロ対策などが優先され、法律で人権を侵害するような動きがフランスなどで見られるケースもあるが、基本的には人権意識は高いと言える。また人権を考慮する土壌があると感じられる。

移民問題や民族紛争をはじめ、人権に対する議論とジレンマは、欧州の国々において常に大きな政治論点である。
(写真:メリケルのプラカードを掲げる、CDU支持者と思われる市民)

そんな環境の中で、インターネットが日常生活に欠かせないものとなっていくにつれ、ユーザーの権利が注目されるようになった。ネット系企業はユーザーの個人データを活用しているが、ユーザーにはそれを知る権利もコントロールする権利も保障されていないーー。近年突然出現したそんな問題に、EUが対策に乗り出すというのは自然の流れだったと言える。さもないと商業主義が個人の人権に勝ることになってしまうからだ。

忘れられる権利

実はGDPRの前には、前段と言えるような話も議論になっていた。いわゆる「忘れられる権利」である。

2014年、欧州連合司法裁判所(EUの最高裁判所)は、インターネットで自分の名前を検索すると過去のネガティブな報道記事が見つかることを不当だとしたスペイン人男性の訴えを認め、検索エンジンを運営する米グーグルに個人情報を削除するよう命じる判決を下した。

この判決は物議を醸し、大きく報じられたため、ご記憶の読者もいるかもしれない。この判決の後、グーグルは次々と検索結果の削除依頼が溢れ、今年4月の段階で、少なくとも240万件以上のリンク削除に応じているという。この「忘れられる権利」の背景には、欧州らしい人権意識が存在している。欧州が人権やプライバシーに神経質であることの好例だと言っていいだろう。

企業がコントロールする個人データをユーザーが”コントロール”するーー。こうした考え方は、GDPRにもつながっていくものなのだ。

アップデートされる、インターネットの"一般意思"

今後、GDPRのデータ規制は、米国などEEAの域外にも広がっていく可能性は高いだろう。さもないと、欧州でGDPRの規制を守り、ユーザーの人権を尊重するグーグルやフェイスブックといった企業は、欧州内だけで人権を尊重する、というわけにはいかなくなるからだ。

例えば、米国でも同じようにユーザーに権利を与えないと、米国人から「欧州ではユーザーを大事にして、私たちの人権は軽視している」と指摘されかねない。「ヨーロッパ人の個人情報のほうが大事です」というわけにはいかないのだ。

日本でも、GDPRのような規制を導入すべく検討中だとの話もある。GDPRから個人データについての概念が世界的に変わっていく可能性がある。そして日本人も、GDPRスタートを契機に、個人データにおける基本的人権について今一度考える必要があるだろう。

記事一覧に戻る